Jedna od najvećih sigurnosnih ranjivosti u posljednje vrijeme, Log4j bi mogao imati ozbiljne posljedice. Pa kako se možete zaštititi?Mnogi sustavi već koriste Log4j, Java biblioteku (engl. Library) za bilježenje poruka o pogreškama u aplikacijama. Ali nedostatak, koji je nedavno otkrio Apache, potencijalno bi mogao omogućiti hakerima nekontrolirani pristup uređajima diljem svijeta.
Zapravo, cyber kriminalci već pokušavaju iskoristiti ovu ranjivost i sve vrste online aplikacija, softvera otvorenog koda, platformi u oblaku i usluga e-pošte mogu biti ugrožene.
Dakle, što je Log4j? Gdje se koristi? I postoje li načini na koje se možete zaštititi od mana Log4j-a?
Što je Log4j?Pouzdana metoda za otklanjanje pogrešaka softvera tijekom razvoja istoga, uključuje ispisivanje logova. Točnije, poruka o greškama koje se javljanju u sustavu. Log4j je jedan takav library za programski jezik Javu. Da nije ove greške, rekli bismo da se radi o kvalitetnom i fleksibilnom “rješenju” koje je svima potrebno.
Razvijen je i održavan od strane Apache Software Foundationa, te Log4j može raditi na svim glavnim platformama uključujući Windows, Linux i Appleov macOS.
Kako se Log4j koristio?
Zapisivanje grešaka (loggiranje) je ključno u razvoju softvera jer ukazuje na stanje sustava tijekom rada. Dostupni podaci sustava u bilo kojem trenutku mogu biti od velike pomoći u praćenju problema. Posebice kod pokušaja reproduciranja pogreške, odnosno u procesu “debuggiranja”, kako to programeri zovu.
Nepotrebno je reći da programeri koriste Log4j tijekom različitih faza razvoja i za sve vrste softvera – od online igara, do poslovnog softvera.
O kakvoj se ranjivosti ovdje radi?Ranjivost koju Log4j ima je prilično velika. Ona može ostaviti sustave koji koriste Log4j otvorenim za vanjske upade, što olakšava hakerima da se “probiju unutra” i dobiju privilegirani pristup resursima kojima ne bi smjeli imati pristup.
Ova ranjivost je uvijek postojala i bila je zanemarena kada je otkrivena još 2020. godine. Međutim, Apache je sada službeno otkrio ovu ranjivost unutar Log4j libraryja nakon što ju je LunaSec identificirao u Microsoftovom Minecraftu.
I od tada ga je više napadača prirodno počelo eksploatirati, pretvarajući ovu prethodno zanemarenu (ili se barem tako čini) ranjivost u nešto ozbiljnije u kratkom vremenu.
Koji sustavi i uređaji su u riziku?Sav (enterprise) poslovni softver i serveri bazirani na Javi koriste Log4j. Zbog svoje raširene upotrebe u softverskim aplikacijama i online uslugama, mnoge usluge su ranjive na ovo iskorištavanje.
Može predstavljati rizik za bilo koji uređaj koji koristi Apache Log4j verzije od 2.0 do 2.14.1 i koji pristupa internetu. Zapravo, ogroman broj usluga koristi Log4j, kao što su Appleov iCloud, Microsoftov Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex i LinkedIn.
Budući da je klasificiran kao ranjivost nultog dana, Log4j dolazi s mnogim posljedicama. Ako se ne zakrpa/popravi napadači mogu provaliti u sustave, ukrasti lozinke i podatke za prijavu (najčešće email adrese) te zaraziti mreže zlonamjernim softverom – budući da ovu ranjivost možete iskoristiti bez puno tehničke stručnosti.
Kako se zaštititi od ovoga?
1) Zakrpe i ažuriranjaVaša bi organizacija (kompanija) trebala brzo prepoznati internetske uređaje koji pokreću Log4j i nadograditi ih na verziju 2.15.0. ili noviju.
Također biste trebali instalirati sva ažuriranja i sigurnosne zakrpe koje su izdali proizvođači i dobavljači čim postanu dostupni. Na primjer, Minecraft je već savjetovao korisnike da ažuriraju igru kako bi izbjegli probleme. Drugi open source projekti poput Papera na sličan način izdaju zakrpe za rješavanje problema.
2) Postavite Firewall pravila za Log4jNajbolji oblik obrane od Log4j-a u ovom trenutku je instaliranje firewalla za web aplikacije (WAF). Ako vaša organizacija već koristi WAF, najbolje je instalirati pravila koja su usredotočena na Log4j.
Prepoznavanjem i blokiranjem opasnih znakovnih nizova na uzvodnim uređajima kao što je WAF, možete zaštititi svoje aplikacije od utjecaja Log4j-a.
3) Lov na anomalijeZatražite od sigurnosnih sektora vaše organizacije da nastave s redovitim traženjem anomalija i poduzmu mjere za svako upozorenje koje se generira pomoću Log4j.
Log4j će preživjeti i ostatiLog4j je “osvojio” programerski svijet i čini se da je ovdje na duge staze. Budući da ne postoji jedinstveno rješenje za ranjivost ove veličine, Log4j će mjesecima koji dolaze održavati IT svijet zauzetim.
Kako sada stvari stoji, sigurnosni eksperti, DevOps timovi i “white hat hakeri” pokušavaju otkriti koliko je ova ranjivost sveprisutna i koje su njezine dugotrajne posljedice.
Iako situacija trenutno izgleda sumorna, krajnji korisnici bi ipak trebali učiniti prioritet ublažavanju ove ranjivosti sljedeći prethodno navedene savjete i smjernice stručnjaka za kibernetičku sigurnost.
Jer na kraju dana, čak i da zamijenite Log4j s drugim libraryjem, nitko vam ne garantira da će on biti sigurniji ili bolji.
Piše: B.P.
pcchip.hr
