Bug-ul software Log4j reprezintă un “risc grav” pentru întregul internet

Un defect de securitate major a fost descoperit într-un software numit Log4j, care este utilizat de milioane de servere web. Defectul le face vulnerabile la atacuri, iar echipele din întreaga lume se grăbesc să aplice patch-uri pe sistemele afectate înainte ca hackerii să le poată exploata. “Internetul este în flăcări în acest moment”, a declarat Adam Meyers de la compania de securitate Crowdstrike.

Ce s-a întâmplat?

Problema cu Log4j a fost observată pentru prima dată în jocul video Minecraft, dar a devenit rapid evident că impactul său era mult mai mare. Software-ul este utilizat în milioane de aplicații web, inclusiv în iCloud de la Apple. Atacurile care exploatează această eroare, cunoscute sub numele de atacuri Log4Shell, au avut loc în mediul natural începând cu 9 decembrie, spune Crowstrike.

Directorul Agenției americane pentru securitatea cibernetică și a infrastructurii, Jen Easterly, a declarat că acest defect de securitate reprezintă un “risc grav” pentru internet. “Această vulnerabilitate, care este exploatată pe scară largă de un set tot mai mare de actori de amenințări, reprezintă o provocare urgentă pentru apărătorii rețelelor, având în vedere utilizarea sa pe scară largă”, spune ea.

Ce este mai exact Log4j?

Aproape fiecare software pe care îl utilizați va păstra înregistrări ale erorilor și ale altor evenimente importante, cunoscute sub numele de jurnale. În loc să își creeze propriul sistem de logare, mulți dezvoltatori de software folosesc Log4j, care este unul dintre cele mai comune pachete de logare din lume.

Faptul că nu trebuie să reinventezi roata este un beneficiu imens, dar popularitatea Log4j a devenit acum o problemă de securitate la nivel mondial. Defectul afectează milioane de programe, care rulează pe milioane de mașini, cu care interacționăm cu toții.

Ce le permite hackerilor să facă acest defect?

Atacatorii pot păcăli Log4j să ruleze un cod malițios, forțându-l să stocheze o intrare de jurnal care include un șir de text foarte special. Modul în care hackerii fac acest lucru variază de la un program la altul, dar în Minecraft s-a raportat că acest lucru a fost făcut prin intermediul căsuțelor de chat. O intrare de jurnal este creată pentru a arhiva fiecare dintre aceste mesaje, astfel încât, dacă șirul de text periculos este trimis de la un utilizator la altul, acesta va fi implantat într-un jurnal.

Într-un alt caz, s-a constatat că serverele Apple creează o intrare în jurnal care înregistrează numele dat unui iPhone de către proprietarul acestuia în setări. Oricum ar fi făcut-o, odată ce acest truc este realizat, atacatorul poate rula orice cod dorește pe server, cum ar fi furtul sau ștergerea datelor sensibile.

De ce nu a fost descoperit mai devreme acest defect?

Codul care alcătuiește software-ul open source poate fi vizualizat, rulat și chiar – cu ajutorul unor controale și balanțe – editat de oricine. Această transparență poate face ca software-ul să fie mai robust și mai sigur, deoarece mai multe perechi de ochi lucrează la el. Dar niciun software nu poate fi garantat ca fiind sigur.

Problema care permite atacul Log4Shell se află în cod de ceva timp, dar a fost recunoscută abia la sfârșitul lunii trecute de către un cercetător în domeniul securității de la Alibaba Cloud, o firmă chineză de calcul. Acesta a raportat imediat problema Fundației Apache Software, organizația americană non-profit care supraveghează sute de proiecte open source, inclusiv Log4j, pentru a le da timp să rezolve problema înainte ca aceasta să fie dezvăluită public.

Această dezvăluire responsabilă este o practică standard pentru astfel de erori, deși vânătorii de erori lipsiți de scrupule vând, de asemenea, vulnerabilitățile hackerilor, permițându-le să fie folosite în liniște timp de luni sau chiar ani de zile – inclusiv în programe de spionaj vândute guvernelor din întreaga lume.

Ce se întâmplă acum?

Apache a acordat vulnerabilității un rang “critic” și s-a grăbit să dezvolte o soluție. Acum, sute de mii de echipe IT se străduiesc să actualizeze Log4j la versiunea 2.15.0, care a fost lansată înainte ca vulnerabilitatea să fie făcută publică și care, în mare parte, rezolvă problema. Echipele vor trebui, de asemenea, să își cerceteze codul pentru potențiale vulnerabilități și să urmărească tentativele de hacking.

În timp ce patch-urile pentru remedierea unor astfel de probleme pot apărea foarte repede, mai ales atunci când sunt dezvăluite în mod responsabil echipei de dezvoltare, este nevoie de timp pentru ca toată lumea să le aplice. Computerele și serviciile web sunt atât de complexe în prezent și atât de stratificate cu zeci de niveluri de abstractizare suprapuse, coduri care rulează peste coduri, peste coduri, încât ar putea dura luni de zile pentru ca toate aceste servicii să fie actualizate.

Și vor exista întotdeauna unele care nu o vor face niciodată. Multe colțuri prăfuite ale internetului sunt susținute de hardware învechit, cu cod învechit și vulnerabil – un lucru pe care hackerii sunt foarte bucuroși să îl exploateze.