Az utóbbi évek egyik legsúlyosabb netes biztonsági hibája tartja lázban a techvilágot

Szinte napra pontosan egy évvel azután, hogy fény derült minden idők egyik legsúlyosabbnak tartott kibertámadására, a SolarWinds meghekkelésére, újabb durva kiberbiztonsági kockázat látott napvilágot: a Log4Shell nevű sérülékenység egybehangzó szakértői vélemények szerint a jelenlegi legkomolyabb fenyegetés az interneten.

Ennek három fő oka van: nagyon sokakat érint, nagyon könnyű kihasználni, és nagyon nehéz megszabadulni tőle.

A hibát a Log4j nevű Java könyvtárban találták. Ez egy széles körben használt programozói eszköz, amellyel a Java programnyelven írt programok aktivitását és hibaüzeneteit lehet naplózni. A nyílt forrású szoftvereket fejlesztő, non-profit Apache Software Foundation gondozza, és milliók által használt programok és szolgáltatások egész sorában található meg: beépítette a különféle termékeibe többek között az Amazon, a Microsoft, a Google, a Cisco, az Oracle, a Broadcom, az Atlassian, a VMware, a Dell és számos más, felhőszolgáltatásokat, hálózati és fejlesztői eszközöket kínáló cég is. Az érintettek köre több száz milliós lehet. „Nehéz helyzetben lennék, ha olyan céget kéne mondanom, amely nincs veszélynek kitéve” – mondta Joe Sullivan, a Cloudflare biztonsági igazgatója.

Az első reakciók nem is szenvedtek hiányt nagy szavakból. A Tenable nevű biztonsági cég vezetője, Amit Yoran szerint a Log4Shell „a legnagyobb, legkritikusabb sérülékenység az elmúlt évtizedben”, és talán a legnagyobb a modern számítástechnika történetében. Az amerikai kiberbiztonsági és infrastruktúrabiztonsági ügynökség (CISA) igazgatója, Jen Easterly pedig azt mondta, ez a sérülékenység

„az egyik legsúlyosabb, amit az egész karrierem alatt láttam, ha nem a legsúlyosabb”.

Még a népszerű játék, a Minecraft Java-alapú verziója is érintett. Érdekesség, hogy a sérülékenység első szélesebb körű felbukkanását épp az jelentette, hogy Minecraft-játékosok rájöttek, hogy egy egyszerű paranccsal át tudták venni az irányítást a játék szerverei fölött.

A sérülékenység, ha nem javítják időben, nagyon könnyen, mindössze egy jól irányzott parancs célba juttatásával kihasználható, és lehetővé teszi a támadóknak, hogy távolról futtassanak parancsokat a megfertőzött rendszereken, például kártevőket telepítve rájuk, illetve adatokat kilopva a hálózatok mélyéről.

Kiberpandémia állami hekkerekkel

A sérülékenység felfedezéséről először december 10-én érkezett hír, akkor adott ki róla figyelmeztetést az új-zélandi kormányzati incidenskezelő központ (CERTNZ), az amerikai CISA és a brit kiberbiztonsági központ (NCSC) is. Eredetileg a kínai Alibaba biztonsági csapatának egyik munkatársa fedezte fel már november 24-én, és jelentette is az Apache-nak, amely elkezdett dolgozni a javításon. Nyilvánosságra akkor hozták a hibát, amikor már világos volt, hogy támadók is felfedezték maguknak.

A Cloudflare szerint a támadások már december 1-jén elkezdődtek, ami azt jelenti, hogy egyes támadók már legalább 9 nappal korábban elkezdhették kihasználni. Tömeges aktivitás azonban csak december 10. után vált észlelhetővé, azóta viszont világszerte számos támadás indult az érintettek ellen.

A támadásokat figyelő és a támadókra vadászó biztonsági cégek azóta folyamatosan jelentik a felfedezéseiket. A Check Point szerint a Log4Shell terjedése igazi kiberpandémia: az első napon még csak pár ezer támadási kísérlet történt, de 24 órával később már 200 ezret azonosítottak, a „járvány kitörése” után 72 órával pedig már több mint 800 ezret. Szerdáig pedig már globálisan az általuk felügyelt vállalati hálózatok 46 százalékánál láttak támadási kísérletet a sérülékenységre alapozva.

A Cisco Talos szerint a Mirai botnet is elkezdte kihasználni a hibát. (A botnet olyan megfertőzött gépek hálózata, amelyet koordinált hadseregként lehet támadásokra vagy akár spamkampányokra felhasználni. 2016-ban a Mirai botnet a fél internetet megbénította egy ilyen túlterheléses támadással.) A Bitdefender szerint már egy új zsarolóvírus-család is született, amelyet kifejezetten erre a sérülékenységre építettek, ennek a Khonsari nevet adták.

A Microsoft szerint a támadók többek között kriptovaluta-bányász és jelszólopó programokat telepítettek a megfertőzött eszközökre, illetve adatokat loptak róluk. A Microsoft arra is felhívta a figyelmet, hogy már ismert kínai, iráni észak-koreai és török állami hekkercsoportok is rárepültek az új lehetőségre, és elkezdték integrálni a sérülékenységet kihasználó kódot (exploitot) az eszközeikbe, illetve támadásokat is indítottak. Konkrét példákat is említenek: a Phosphorus (más biztonsági cégek elnevezése szerint Charming Kitten) nevű iráni csoport, amely zsarolóvírus-támadásokban utazik, a cég szerint már használatba is vette a sérülékenységet, a Hafnium nevű kínai csoport pedig elkezdte felmérni a sérülékeny rendszereket. A Mandiant szerint is iráni és kínai állami hekkerek használják ki a hibát.

Hibás javítással súlyosbított hiba

A sérülékenység nyilvánosságra hozása óta az érintett vállalatok és a kormányzati kibervédelmi szervek gőzerővel dolgoznak a veszély kezelésén. A holland kiberbiztonsági központ (NCSC-NL) közzétett egy folyamatosan frissített listát az érintett gyártókról és szoftverekről, jelezve, hogy melyikről tudható, hogy sérülékeny, hogy melyikhez adtak már ki frissítést, illetve hogy melyik nem sérülékeny. Az amerikai CISA is gondoz egy hasonló listát. Ahogy ezekből a rendkívül hosszú listákból is látszik, sok az érintett, de sok cég már megtette a szükséges lépéseket.

A CISA-igazgató Jen Easterly a közleményében azt írta, hogy a sérülékenység súlyos kockázatot jelent, és a hatása minimalizálásához a kormányzati ügynökségek és a magánszektor együttes fellépésére van szükség. A nagy cégek a napokban sorra adták ki a javításokat vagy a probléma kezeléséhez készített útmutatóikat a sérülékenység által érintett szolgáltatásaikhoz, és minden ügyfelüket arra sürgetik, hogy végezze el a szükséges frissítéseket vagy beállításokat. Így tett például a Cisco, a VMware, az Amazon, az IBM, az Oracle, a Microsoft, a Google vagy az Apple is.

Az amúgy sem különösebben egyszerű helyzetet tovább bonyolítja, hogy kiderült, hogy a javítás, amelyet a Log4j 2.15.0 verziójaként adtak ki, maga is sérülékeny volt, sőt rögtön két új hibát is találtak benne: az egyik túlterheléses támadást tett lehetővé a frissített szerverek ellen, a másikat kihasználva pedig adatokat lehetett ellopni róluk. És a Cloudflare szerint legalább az első új sérülékenységet már biztosan aktívan ki is használják a támadók. Az Apache már ki is adta az újabb javítást, a 2.16.0 számú verziót, és a kutatók mindenkit arra buzdítanak, hogy mielőbb frissítsen – megint.

Velünk marad

Bár a nagyvállalatok egymásra licitálva teszik közzé a javításaikat, valójában bármelyik olyan eszköz veszélyben lehet, amely csatlakozik az internetre, és fut rajta a Log4j valamelyik 2.0 és 2.14.1 közötti – illetve a jelek szerint a 2.15.0 – verziója. Mivel ez rengeteg szolgáltatás rengeteg eszközét jelenti, nem könnyű felmérni, hogy mennyire kiterjedt a fenyegetés, mert gyakran maguk a cégek vagy kormányzati szervek sem feltétlenül vannak tisztában azzal, hogy egy-egy ilyen megoldás része az általuk használt programoknak.

Épp emiatt lesz nehéz megszabadulni a Log4Shelltől.

Míg a nagyobb vállalatok viszonylag könnyen frissíthetik a saját szervereiket, azoknak jóval nehezebb dolguk lehet, akik más által fejlesztett megoldásokba ágyazva használják a Log4j-t, mert ezeket is mindet frissíteniük kell a maguk fejlesztőinek, ráadásul lehet, hogy ezekben sem közvetlenül van ott a Log4j, hanem egy másik modulban, amelyet külön frissíteni kell. Olyan ez, mint egy hosszú dominósor, és ahhoz, hogy működjön a dolog, minden darabnak a helyére kell kerülnie.

Ahogy a SolarWinds-támadás hatása is hosszú ideig velünk maradhat, valószínűleg a Log4j sérülékenységétől is sokáig fogunk még hallani.