Log4j: Alvorlig softwarefejl bringer hele internettet i fare

Advertisement

En fejl i almindeligt brugt software har gjort millioner af webservere sårbare over for hackere.

Teknologi


13. december 2021

Hacker bruger bærbar computer

Hackere kan bruge Log4j bug til at få adgang til beskyttede data

Shutterstock / Tammy54

Der er opdaget et alvorligt sikkerhedshul i software kaldet Log4j, som bruges af millioner af webservere. Fejlen efterlader dem sårbare over for angreb, og hold rundt om i verden kæmper for at reparere sårbare systemer, før hackere kan udnytte dem. “Internettet brænder” sagde Adam Meyers fra sikkerhedsfirmaet Crowdstrike.

Hvad skete der?

Problemet med Log4j blev først set i et videospil. mine håndværk, men det viste sig hurtigt, at hans indflydelse var meget større. Softwaren bruges i millioner af webapplikationer, herunder Apples iCloud. Angreb, der udnytter fejlen, kendt som Log4Shell-angreb, har været finder sted fra den 9. decemberCrowdstrike siger.

Det oplyser direktøren for det amerikanske agentur for cybersikkerhed og infrastruktursikkerhed Jen Easterly. mangel på sikkerhed udgør en “alvorlig risiko” på internettet. “Denne sårbarhed, som udnyttes bredt af et stigende antal angribere, er et presserende problem for netværksforsvarere i betragtning af dens udbredte brug,” siger hun.

Hvad er log4j?

Næsten al software, du bruger, vil føre optegnelser over fejl og andre vigtige hændelser, kendt som logs. I stedet for at bygge deres eget logningssystem bruger mange softwareudviklere open source Log4j, hvilket gør det til en af ​​de mest udbredte logningspakker i verden.

Ikke at skulle genopfinde hjulet er en kæmpe fordel, men populariteten af ​​Log4j er nu blevet en global sikkerhedshovedpine. Sårbarheden påvirker millioner af programmer, der kører på millioner af maskiner, som vi alle interagerer med.

Hvad tillader sårbarheden hackere at gøre?

Angribere kan narre Log4j til at køre ondsindet kode ved at få den til at gemme en logpost, der indeholder en bestemt tekstlinje. Måden hackere gør dette på varierer fra program til program, men i mine håndværkDet forlyder, at dette blev gjort gennem chats. Der oprettes en logpost for at arkivere hver af disse meddelelser, så hvis en farlig tekstlinje sendes fra en bruger til en anden, vil den blive implanteret i loggen.

I et andet tilfælde viste det sig, at Apple-servere var ved at oprette logindgang, der indeholder det givne navn på iPhone af dens ejer i indstillinger. Hvorom alting er, efter at dette trick er implementeret, kan angriberen køre enhver kode han kan lide på serveren, for eksempel stjæle eller slette følsomme data.

Hvorfor blev denne fejl ikke opdaget tidligere?

Koden, der udgør open source-software, kan ses, køres og endda – med forbehold for checks and balances – redigeres af enhver. Denne gennemsigtighed kan gøre software mere pålidelig og sikker, fordi mange par øjne arbejder på den. Men ingen software er garanteret sikker.

Problemet, der gør Log4Shell-angrebet muligt, har eksisteret i koden i et stykke tid, men blev først opdaget sidst i sidste måned af en sikkerhedsforsker hos det kinesiske computerfirma Alibaba Cloud. Han rapporterede straks problemet til Apache Software Foundation, en amerikansk nonprofitorganisation, der fører tilsyn med hundredvis af open source-projekter, inklusive Log4j, for at give det tid til at løse problemet, før det offentliggøres.

Denne ansvarlige afsløring er standardpraksis for sådanne fejl, selvom nogle fejljægere også sælger sådanne sårbarheder til hackere, hvilket gør det muligt at udnytte dem i måneder eller endda år, herunder til sporingssoftware, der sælges til regeringer rundt om i verden.

Hvad sker der?

Apaches tildelt sårbarheden en “kritisk” vurdering og skyndte sig at udvikle en løsning. Nu forsøger hundredtusindvis af it-teams at opdatere Log4j til version 2.15.0, som var frigivet, før sårbarheden blev offentliggjort og i bund og grund løser problemet. Hold skal også tjekke deres kode for potentielle sårbarheder og holde øje med hackingforsøg.

Mens patches til at løse sådanne problemer kan dukke op meget hurtigt, især hvis de er ansvarligt afsløret til udviklingsteamet, tager det tid for alle at anvende dem. Computere og webtjenester er nu så komplekse og så lagdelte med snesevis af abstraktionslag, kode, der arbejder på kode, på kode, at det kan tage måneder at opdatere alle disse tjenester.

Og der vil altid være dem, der aldrig gør. Mange støvede hjørner af internettet er bakket op af forældet hardware med forældet sårbar kode, som hackere nemt kan udnytte.

Mere om disse emner:

Add Comment