You are here
Home > Novosti > Kritično upozorenje Zero-Day ranjivost ili ranjivost nultog dana u Java biblioteci Log4j

Kritično upozorenje Zero-Day ranjivost ili ranjivost nultog dana u Java biblioteci Log4j

U petak 10.12.2021. Nacionalni CERT je zaprimio obavijest o otkrivanju kritične ranjivosti CVE- 2021-44228 u Java logging programskoj biblioteci Log4j. Otkrivena ranjivost potencijalnom udaljenom napadaču omogućava izvršavanje proizvoljnog programskog koda u sustavu (engl. remote code execution – RCE) ili krađu osjetljivih informacija. Proof-of-concept (PoC) koda koji iskorištava ranjivost već je dostupan javnosti. Radi se o popularnoj softverskoj biblioteci koju koristi veliki broj Java aplikacija, a ranjivi su poslužiteljske aplikacije i klijenti. Posebno ističemo da ranjive mogu biti i aplikacije koje nisu javno dostupne, ali obrađuju podatke iz drugih, javno dostupnih sustava (npr. Elasticsearch koji je dio ELK infrastrukture za pohranu i pretraživanje velike količine podataka).

Nacionalni CERT poslao je upozorenje i upute CARNET ustanovama članicama u kojima savjetuje svim administratorima poduzimanje hitnih mjera i praćenje statusa ranjivosti.

Ranjive su verzije Apache Log4j od 2.0-beta9 do 2.14.1.

Na temelju novih saznanja, JNDI-Exploit-Kit prolazi u *bilo kojoj verziji Jave*, dok god se klase u serialized payloadu nalaze u aplikacijskom classpathu. Neovisno o ažuriranjima Jave, potrebno je ažurirati log4j biblioteku što je prije moguće!

Na temelju trenutno dostupnih saznanja, u zadanoj konfiguraciji JDK verzija većih od 6u211, 7u201, 8u191 i 11.0.1 parametar je onemogućen com.sun.jndi.ldap.object.trustURLCodebase, što znači da se RCE napad ne može izvesti putem JNDI-LDAP vektora, ali se mogu izvršiti napadi s ciljem krađe osjetljivih podataka. No, postoji mogućnost iskorištavanja ranjivosti putem drugih vektora (npr. JNDI-RMI).

Informacije o ovoj kritičnoj ranjivosti objavile su i hrvatske tvrtke koje se bave kibernetičkom sigurnosti Infigo IS i Diverto.

CERT Zavoda za sigurnost informacijskih sustava (ZSIS) naglašava kako je ranjivost pod nazivom Log4Shell dobila CVSS ocjenu 10,0 zbog nekoliko čimbenika:

  • ranjivost je lako iskoristiva – napadaču je potrebna samo mogućnost kontrole stringova koji će se zabilježiti putem log4j biblioteke
  • zbog velikog broja različitih vektora za potencijalni napad (mnogo različitih operacija se bilježi i kontrolira od strane napadača) jedini cjeloviti način uklanjanja ranjivosti je nadogradnja na najnoviju inačicu
  • veliki broj komponenti i tehnologija koristi log4j

Mitigacija

Dostupna je nova inačica biblioteke 2.17.0 u kojoj su aktualne ranjivosti uklonjene. Ranjivost CVE- 2021-44228 se već iskorištava u različitim kibernetičkim napadima. Preporučujemo da svi administratori sustava poduzmu hitne mjere.

  1. Instaliranje najnovije inačice – 2.17.0 u kojoj su sve aktualne ranjivosti uklonjene.
  2. U slučaju verzije >= 2.10.0, onemogućavanje slanja zahtjeva Log4j biblioteci:
    -Dlog4j2.formatMsgNoLookups=true
  3. Primjena zadnjih dostupnih ažuriranja tehnologija koje koriste Log4j
  4. Blokiranje potencijalno zlonamjernih zahtjeva na WAF-u

Ostale mogućnosti ublažavanja ranjivosti nalaze se na službenim stranicama Apache

UPDATE (14/12/2021)

Nacionalni CERT je u suradnji s Laboratorijem za sustave i signale Fakulteta elektrotehnike i računarstva izradio upute za detekciju i otkrivanje ranjivih servisa te pretragu sustava kako bi se utvrdilo je li na sustavu iskorištena ranjivost u biblioteci log4j za sistem administratore. Upute možete preuzeti ovdje.

UPDATE (14/12/2021)

Dostupna je nova inačica log4j biblioteke 2.16.0:

  • po defaultu onemogućen JNDI. Potrebno je postaviti log4j2.enableJndi na “true” kako bi dopustili JNDI.
  • potpuno uklonjen support za Message Lookups.

Otkrivena je dodatna ranjivost log4j biblioteke pod oznakom CVE-2021-45046 koja uzrokuje uskraćivanje dostupnosti (eng. Denial-of-Service). Preporučuje se ažuriranje na inačicu 2.16.0.

UPDATE (17/12/2021)

Otkriveno je da je ranjivosti CVE-2021-45046 ocjena narasla iz 3,7 u 9,0 CVSS te je ušla među kritične ranjivosti biblioteke log4j, a može uzrokovati RCE napad (eng. Remote Code Execution). Inačice log4j biblioteke na koje se odnosi ranjivost su od 2.0-beta9 to 2.15.0. Hitno se preporučuje ažuriranje na 2.16.0.

UPDATE (18/12/2021)

Dostupna je nova inačica log4j biblioteke 2.17.0.

Otkriven je alternativni vektor napada koji iskorištava ranjivosti u log4j biblioteci. Novi vektor napada se oslanja na povezivanje Javascriptovog Websocketa kako bi aktivirao RCE na izloženim internim ili lokalnim neažuriranim log4j aplikacijama. Drugim riječima, bilo tko s ranjivom inačicom biblioteke na svojem stroju ili lokalnoj privatnoj mreži može potencijalno aktivirati iskorištavanje ranjivosti.

UPDATE (29/12/2021)

Otkrivena je nova ranjivost log4j biblioteke pod oznakom CVE-2021-44832, koja omogućava udaljenom napadaču izvršavanje programskog kôda, a ima CVSS ocjenu 6.6. Preporučuje se ažuriranje na najnoviju inačicu 2.17.1.

Trenutna lista zahvaćenih tehnologija (puni opseg utjecaja ranjivosti se još utvrđuje i nadopunjava):

Više o samoj ranjivosti možete pročitati na poveznicama:

Shema log4j JNDI napada (izvor: govcert.ch)

Trenutno Nacionalni CERT nije zaprimio prijavu u vezi uspješnog iskorištavanja ranjivosti u hrvatskom kibernetičkom prostoru. Nacionalni CERT će i dalje izvještavati hrvatsku javnost ovisno o novim informacijama i procjeni ugroženosti hrvatskog kibernetičkog prostora.

Top
More in Novosti
Provedena NATO međunarodna kibernetička vježba – Cyber Coalition 2021

Riječ je o najvećoj i najpoznatijoj NATO vježbi u području kibernetičke obrane koja se provodi s ciljem jačanja otpornosti i...

Close