Что такое эксплойт Log4j и что вы можете сделать, чтобы обезопасить себя?
Эксплойт Log4j, называемый Log4Shell или CVE-2021-44228 по мнению некоторых, в последние несколько недель появлялись в новостях. Это плохо! Это везде! Но что это на самом деле? Как он попал на миллионы серверов? И как защитить себя от последствий этой дыры в безопасности?
Это не данные – это код!
В основе проблемы Log4j лежит путаница между простыми данными и исполняемыми командами. Вредоносные кодеры использовали эту путаницу практически вечно.
Во времена компьютерных вирусов, основанных на DOS, программы на диске просто копировались прямо в память и запускались. Ранние вирусы добавляли себя в виде блока данных в конце основной программы. Изменяя один или два байта в начале программы, они заставляли DOS выполнять вирусный код перед запуском программы. И за время своего короткого запуска вирус присоединился к большему количеству программ.
Программы Windows, называемые программами Portable Executable (PE), намного сложнее. Различные блоки информации загружаются в соответствующую область памяти, и эти блоки помечаются как код или данные. Даже в этом случае злоумышленники управляли атаками, которые принудительно запускали то, что должно было быть данными. Современные версии Windows используют предотвращение выполнения данных (DEP) и рандомизацию разметки адресного пространства (ASLR) для предотвращения таких атак.
Java и открытый исходный код
Log4j написан на Java, что означает, что он по сути не имеет защиты, такой как DEP и ASLR. С другой стороны, это пакет с открытым исходным кодом. Это означает, что любой (ну, любой, у кого есть навыки программирования) может читать исходный код, обнаруживать ошибки и вносить свой вклад в улучшение пакета.
Теория состоит в том, что код с открытым исходным кодом безопаснее, потому что он был изучен многими группами глаз, и потому что в коде нет возможности скрыть бэкдор или какую-либо другую нежелательную функцию. Когда задействованная библиотека очень чувствительна, возможно, связана с шифрованием, она действительно подвергается серьезной проверке. Но, видимо, этому простому модулю ведения журнала не было уделено должного внимания.
Почему это везде?
Когда есть дыра в безопасности в операционной системе или популярном браузере, это обычно затрагивает только пользователей этой операционной системы или этого браузера. Издатель разрабатывает новую версию, которая залатывает дыру, выпускает обновление, и все в порядке.
Log4j другой. Это не операционная система, браузер и даже не программа. Скорее, это то, что кодеры называют библиотекой, пакетом или модулем кода. Он служит одной цели – вести журнал того, что происходит на сервере.
Люди, пишущие код, хотят сосредоточиться на том, что делает их программу уникальной. Они не хотят изобретать колесо заново. Таким образом, они полагаются на бесконечные библиотеки существующего кода, такие как Log4j. Модуль Log4j поступает от Apache, который является наиболее широко используемым программным обеспечением для веб-серверов. И поэтому его можно найти на миллионах серверов.
Кто здесь жертва?
Вот важный момент. Атаки с использованием уязвимости в Log4j: нет нацелен на вас. Хакер, который заставляет его регистрировать строку текста, которая становится командой, стремится установить вредоносное ПО на сервер. Microsoft сообщает, что хакеры, спонсируемые государством, используют его, вероятно, для распространения программ-вымогателей. Пострадали Apple, Cloudflare, Twitter, Valve и другие крупные компании.
Возможно, вы видели (или просматривали) видео на YouTube, в котором исследователь безопасности продемонстрировал захват сервера Minecraft, используя не что иное, как внутриигровой чат. Это не значит, что это повлияло на игроков, участвующих в чате. Значит, исследователь заставил сервер для запуска произвольного кода.
Рекомендовано нашими редакторами
Но пока не расслабляйтесь. Хакер, который может запустить произвольный код на уязвимом сервере, имеет неограниченные возможности. Конечно, атака вымогателя на владельца сервера может быть довольно прибыльной, как и использование сервера для майнинга биткойнов. Но также возможно, что хакер может взломать сервер, в результате чего он будет заражать посетителей веб-сайтов, размещенных на этом сервере, вредоносным ПО.
Что я могу сделать?
Эксплойт Log4j – лишь одна из многих дыр в безопасности, используемых злоумышленниками. CISA каталог эксплуатируемых уязвимостей перечисляет 20 найденных только в декабре. Присмотревшись, вы увидите, что некоторые из них уже исправлены, но у других есть исправление, которое не требуется в течение шести или более месяцев. Конечно, мало кто подвергнется воздействию эксплойта Log4j.
Что касается защиты от Log4j на стороне сервера, то это до смешного просто. Есть параметр, который определяет, может ли система ведения журнала интерпретировать данные как код. Выключение этого выключателя делает свою работу. Естественно, Apache выпустил обновление для модуля кода, но некоторые исследователи сообщают, что единственным существенным изменением в обновлении является то, что этот переключатель по умолчанию выключен.
Как уже отмечалось, Log4j – это код, разработанный для серверов, и атака с использованием эксплойта затрагивает серверы. Тем не менее, вы можете пострадать косвенно, если хакер использует его для отключения важного для вас сервера или пытается использовать сервер для скрытых загрузок или других вредоносных атак.
Нет ничего ты можно сделать, чтобы избежать последствий отключения сервера, но вы может защититесь от этих вторичных атак, установив мощную антивирусную утилиту и постоянно обновляя ее. Внесите свой вклад, оставаясь в курсе мошенничества с фишингом, используя диспетчер паролей и пропуская свой интернет-трафик через виртуальную частную сеть или VPN. Обеспечение безопасности ваших собственных данных, устройств и подключений означает, что вы вряд ли пострадаете от последствий атаки эксплойта Log4j.
