Log4Shell turvanõrkus

Ardi Jürgens
Jaga:

Antud blogipostitus on 36 kuud vana ning ei pruugi olla enam ajakohane.

Möödunud 24 tundi on olnud ülemaailmselt infotehnoloogia valdkonna jaoks pingelised. 

Maailma ühe eelistatuma tarkvaraarendusplatvormi Java populaarsest logide käitlemise raamistikust Log4j avastati turvanõrkus (https://nvd.nist.gov/vuln/detail/CVE-2021-44228), mida on väga lihtne ära kasutada. Nõrkuse edukal ekspluateerimisel on ründajal võimalik panna ohvri server, arvuti vms seade  oma pilli järgi tantsima. Seepärast on nõrkus saanud endale ka vastava nime: Log4Shell.

Nagu arvata võite, siis on süsteemiadministraatorid, tehnikud ja tarkvaraarendajad jt üle maailma  rakkes sellega, et maandada selle nõrkusega seotud riske.

Sellest, kuivõrd laialdane on selle intsidendi mõju, annab aimu järgmine nimekiri mõjutatud ettevõtetest ja platvormidest: https://github.com/YfryTchsGD/Log4jAttackSurface

Nõrkus saab ilmneda pea igas situatsioonis kus üritatakse logida midagi, mis saabub ründajalt. Olgu see siis kasutaja veebibrauseri User Agent või vea tekitanud sisend. Turvaauk tekkiski sellest, et logimise mugavdamiseks mõeldud funktsionaalsus oli kättesaadav igale logisõnele mis log4j-ni jõudis. Võimalus küsida lisainfot JNDIga suvalisest LDAP kataloogiserverist (sellest ka näidetes leiduv jdni:ldap:// osa) võimaldab serverisse tõmmata täiesti ründaja valitud Java objekte. See on juba püha graal igale ründajale.

Zone poolt hallatud veebimajutusteenuste osas oli Log4j nõrkuse ärakasutamise risk õnneks minimaalne, ka täiendavaid turvameetmeid rakendamata.

Meie pakutavas platvormis pole lihtsalt kuigi palju Java põhiseid komponente, mis seda teeki kasutaks. 

Välja toomist tasub neist vaid üks – Elasticsearch, aga Zone teenuste raames kliendile pakutav Elasticsearch instants pole interneti kaudu saabunud külastajatele või teistele klientidele ligipääsetav, mis maandab nii selle kui ka teiste sarnaste nõrkuste ärakasutamise riski.

Sellegipoolest rakendasime juba eile Elasticsearchi osas täiendavaid turvameetmeid, et takistada teadaolevaid nõrkuse ärakasutamise meetodeid.

Meie kliendid peaksid siiski pöörama tähelepanu sellele, et nende tarkvaraarendajad või veebimeistrid võivad olla ise paigaldanud meie serveritesse tarkvara, mis Log4j kasutab. Selline tarkvara vajab kindlasti uuendamist või nõrkusega seotud riskide maandamist.

Täiendus: Ilmselt on üks levinumatest mõjutatud rakendustest Minecraft, kui teil tiksub kuskil pilve nurgas mõni ununenud Minecrafti server, siis nüüd on õige aeg sellega tegeleda!

Soovitame teemast huvitatutele ja mõjutatutele jälgimiseks järgmist Redditi jutulõime: https://www.reddit.com/r/netsec/comments/rcwws9/rce_0day_exploit_found_in_log4j_a_popular_java/

Rõhutame ka, et üldlevinud rakendused nagu WordPress, Drupal, Joomla ja nende laiendused, ei kasuta reeglina Java põhiseid komponente, mis võiksid sõltuda Log4j teegist.

Populaarsed postitused

Zone+ AI Assistent nüüd veelgi targem

Ingmar Aasoja
Zone+ AI Assistent WordPressile on leidnud kasutust juba lugematute kodulehtede ehitamisel. Hiljuti saabus uuendus, mis annab rohkem valikuid nii uue lehe...

Täpitähtedega domeen sinu brändi teenistuses

Ants
Kaasaegses digimaailmas on domeeninimed brändi identiteedi olulised nurgakivid. Sinu domeeninimi on esimene asi, millega potentsiaalne klient veebis kokku...

Eesti õpilased puhuvad vanadesse serveritesse uut elu

Sten
Igal aastal jääb meil peale riistvarauuendusi seisma tornide viisi täiesti töökorras servereid. Oleme otsustanud toetada haridust ja innovatsiooni,...

Lokaliseerimine ja kvaliteetne tõlge: sild globaalsete turgude vahel

Lemme Suve
Digiajastul, kus piirid on muutunud virtuaalseks ja ettevõtted võivad jõuda klientideni üle kogu maailma, on kvaliteetne ja hästi läbimõeldud suhtlus...