В средата на декември интернет секторът беше уведомен за нова софтуерна уязвимост. Този път обаче рискът се оказа много по-сериозен от очакваното, тъй като практически засяга стотици милиони устройства – от мобилни телефони до автомобили, както и множество софтуерни платформи. Log4Shell е уязвимост, която ще влезе в историята като една от най-сериозните досега.
Тя е открита през ноември т.г. от експерт по киберсигурност на компанията Alibaba. Проблемът засяга софтуерната библиотека Log4j, която се използва от множество Java-базирани програми и е част от софтуерните инструменти на Apache Software Foundation. От Alibaba са информирали Apache веднага, които веднага започнали работа по ъпдейт, който да отстрани проблема.
Експлозивен ръст
Няколко дни след като „кръпката“ е готова, уязвимостта е оповестена публично. Това се случва в петък, 10-ти декември, което е странно решение поради няколко причини. Първо, има два дни, през които повечето фирми не работят и съответно няма да защитят системите си. А хакерите не почиват и именно през двата почивни дни има огромен ръст на атаките, които използват Log4Shell.
Второ, макар да е готова, актуализацията далеч не е инсталирана масово. При някои други сериозни уязвимости бяха прилагани по-дискретни тактики – ъпдейтите бяха изпращани до големите компании (не само технологични), които да защитят системите и потребителите и след това се публикуват и подробностите за проблема.
Вероятно една от причините за решението е, че компании за киберсигурност засичат първите опити за атаки още на 1-ви декември т.г. Това означава, че информацията за проблема е „изтекла“ до определени хакерски групи в дните след уведомяването на Apache. И все пак, от компанията за киберсигурност Check Point казват, че преди оповестяването на Log4Shell, е имало около 100 засечени атаки. В рамките на 72 часа след официалното публикуване на проблема, атаките скачат до близо 1 млн.
Кой е засегнат?
Експерименти показват, че уязвимостта може да се активира чрез използване на определени мобилни приложения за iPhone и Android, чрез кликване на линк, изпращане на съобщение, попълване на текст в онлайн формуляр и много други начини. Тук обаче също има нюанси.
Позициите на експертите се разминават по отношение на реалния риск от Log4Shell. Естеството на атаката позволява чрез нея устройството-мишена да бъде командвано да посети даден сървър, на който да има предварително подготвен вирус или друг зловреден код и така да бъде инфектирано. Според някои експерти реалният риск е само за сървъри, но според други, чрез Log4Shell могат да бъдат заразени всякакви устройства. От значение са и уменията на хакерите доколко могат да се възползват – ако самото активиране на Log4Shell е определяно като изключително лесно, то по-нататъшното му използване за конкретни цели е по-сложно и изисква опит.
И все пак, по света има предостатъчно умели хакери, за които проблем като този е ранен коледен подарък. Бързо се появиха различни методи за атака, като най-често се уязвимостта се комбинира с криптовируси. Log4Shell се оказва идеален начин за разпространение на такъв зловреден софтуер, като данни на Check Point показват, че средно около 40-49% от корпоративните мрежи по света са уязвими и съответно се нуждаят от възможно най-бързо инсталиране на актуализациите.
От Bitdefender допълват, че вече са засечени и други тактики. Log4Shell се използва и за троянски коне, опити за установяване на отдалечен достъп до вътрешни системи и други. Дори има ботмрежи, които вече са изградени с цел да търсят жертви и да ги атакуват.
Истинският проблем
Ако сам по себе си Log4Shell е значителен проблем, то той стана още по-сериозен заради реакциите. Институции по света призоваха компаниите бързо да вземат необходимите мерки. Нивото на информираност обаче изглежда недостатъчно. От компанията Sonatype отбелязват, че седмица по-късно, 65% от изтеглените версии на Log4j все още са уязвимите, а не актуализираните.
И след това още един проблем. Коя версия всъщност е защитена? Оказа се, че първоначалният ъпдейт не решава уязвимостта напълно. Беше открита допълнителна слабост в защитата, а след това се появиха и различни версии, които предлагат собствени идеи.
Причината е, че Log4j е с отворен код, като конкретната уязвимост всъщност датира още от 2013 година и години наред е останала незабелязана дори и от хакерите. Това е така, тъй като библиотеката се поддържа от екип от четирима души, които са доброволци и работят в свободното си време.
Предимството на отворения код в случая е, че по-бързо се появяват и нужните обновления и подобрения. Също така има и повече хора, които сега да обърнат внимание на софтуера и да го тестват щателно.
За съжаление обаче всичко това отново се случва като следствие на проблема. Отново цялата ИТ индустрия трябва да реагира на „пожар“ и да догонва хакерите, които реагират за часове, докато на повечето компании им трябват дори месеци. Затова и Log4Shell ще продължи да е тема още доста време.
