Az utóbbi időben futótűzként terjedve okozott pánikot az Apache Log4j nyílt forráskódú szoftverének hibája. A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete 2021. december 12-én kiadott riasztása kritikus kockázati besorolásúként kategorizálta a rendszer sérülékenységét. Az Amerikai Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség igazgatója, Jen Easterly a Log4j hibáját a karriere során „általa látott legsúlyosabb sebezhetőségnek” nevezte.
Szerző: Szilágyi Bori gyakornok, NKE EJKK Kiberbiztonsági Kutatóintézet
Mi az a Log4j? Használom én is?
Az Apache Foundation egyik Java-alapú naplófájlokat alkotó segédeszköze ez, elsődleges funkciója az alkalmazások hibaüzeneteinek naplózása. A bárki által ingyenesen használható szoftver segítségével a cégek kliensoldali alkalmazásaikon és szervereiken nyomon követhetik a szervereiken végzett tevékenységet.
Olyan közösségi médiás platformokon kívül, mint a Facebook vagy a Twitter, számos felhőszolgáltatás (közöttük az Apple iCloud), továbbá nagy cégek, mint az Amazon és a Google is alkalmazzák ezt a technológiát. Ezeknek a szolgáltatásoknak igénybevétele által a magánszemélyek is érintetté válnak.
De mi is pontosan a gond?
A Log4Shell, másnéven CVE-2021-44228 kódnevű hiba lehetővé teszi a támadó számára, hogy egy meghatározott parancssor begépelésével behatoljon a Log4j-t alkalmazó rendszerekbe, jelszavakat és bejelentkezési adatokat lopjon, vagy kártékony szoftverekkel fertőzze a hálózatokat.
Jogos kérdés volna az is, hogy ez hogyan lehetséges egy első pillantásra biztonságosnak tűnő rendszeren keresztül végrehajtani. A választ a Log4j egyes verzióinak címtárkereső protokolljában találjuk, amelyek képesek tetszőleges karakterlánc végrehajtására.
A Log4j-t világszerte szinte valamennyi magán-, illetve vállalati felhasználó használja, ezáltal rendszereik sebezhetővé válnak. Ennek egyik oka, hogy a megjelent biztonsági rés kihasználásához nincs szükség különösebb szakértelemre. Egy december 14-i adat szerint a CheckPoint kiberbiztonsági cég percenként 100 támadást mért a Log4j-t futtató szerverek ellen.
Hogyan reagáltak?
Mivel a Log4j többféleképpen jelen van a szoftvertermékekben, a javítás folyamatában érintettek lesznek nemcsak a Log4j fejlesztői és a Log4j-t használó szoftverfejlesztők, hanem a szoftverforgalmazók, a rendszerüzemeltetők és a felhasználók is. Általában ez késleltetést okoz a Log4j kódban elérhető javítás és aközött, hogy az emberek számítógépei ténylegesen kizárják a sebezhetőség kihasználásának leetőségét.
Az Apache Foundation a hiba felfedezése után rövid időn belül kiadta a szoftver frissített verzióját, amely kivédi a fent említettekhez hasonló támadásokat. Ezzel párhuzamosan a legtöbb Log4j-t futtató online szolgáltatásokat és egyéb rendszereket birtokló cégek átvizsgálták szervereiket, hogy felmérjék a sebezhetőség valamennyi részletét, majd megállapítsák, hogy ezek kihasználhatóak-e.
A szolgáltatók a lehető legtöbb rendszer biztosítása érdekében, gyakran az állami szervekkel együttműködve igyekeznek felhívni a felhasználók figyelmét a rájuk leselkedő veszélyekre, miközben saját hálózataik védelmének helyreállításán dolgoznak.
Felhasználóként mit tehetek?
Habár az ilyen incidensek megoldásának problémája meglehetősen ritkán hárul a felhasználókra, mi is tehetünk bizonyos lépéseket eszközeink és saját biztonságunk érdekében.
Ezek közül a legfontosabbak:
- Alkalmazásaink és szoftverjeink legyenek naprakészek, frissítsük ezeket, amilyen gyakran csak lehetséges.
- Ha gyanús email érkezik, ne nyissuk meg a csatolmányait, mivel lehetséges, hogy ezek rosszindulatú szoftvert telepítenek eszközünkre.
- Amennyiben úgy érezzük, hogy nem megfelelő erősségű jelszavakkal láttuk el személyes fiókjainkat, ezeket változtassuk meg.
- Mivel a Log4j elsősorban szerverekre tervezett kód, felhasználóként inkább közvetve érinthet minket abban az esetben, ha például a szerver leáll, vagy a támadó kártékony szoftverek terjesztésére használja.
Források
https://www.pcmag.com/how-to/what-is-the-log4j-exploit-and-what-can-you-do-to-stay-safe
https://www.controldesign.com/articles/2021/the-log4j-vulnerability-what-is-it-and-should-i-be-concerned/
https://www.washingtonpost.com/technology/2021/12/20/log4j-hack-vulnerability-java/
https://theconversation.com/what-is-log4j-a-cybersecurity-expert-explains-the-latest-internet-vulnerability-how-bad-it-is-and-whats-at-stake-173896
https://www.cybersecuritydive.com/news/log4j-cve-download/616481/
https://www.ncsc.gov.uk/information/log4j-vulnerability-what-everyone-needs-to-know
https://www.cisecurity.org/log4j-zero-day-vulnerability-response
https://cyberint.com/blog/research/log4j-incident-update/
https://virusirto.blog.hu/2021/12/18/minden_amit_a_log4j_serulekenysegrol_tudni_akarsz
https://index.hu/techtud/2021/12/16/log4j-biztonsagi-hiba-cisa-internet-minden-ceg-erintett-kiberbiztonsag/
https://nki.gov.hu/en/figyelmeztetesek/riasztas/riasztas-apache-log4j-konyvtart-erinto-kritikus-serulekenyseggel-kapcsolatban/
https://hitechglitz.com/hungary/a-log4j-hiba-egy-nagyobb-problemat-tar-fel-a-nyilt-forraskodu-finanszirozast/