Урок Log4j: безопасность лишь призрак в нашем скорбном мире

20 декабрь, 2021 - 15:58Виталий Кобальчинский

Став примером того, какой вред потенциально может принести проект с открытым исходным кодом, сопровождаемый и управляемый на добровольной основе, инцидент с Log4j в полной мере демонстрирует хрупкость и ненадёжность нашего повседневного мира, важнейшей частью которого уже давно стал Интернет.
 
Мир информационной безопасности 9 декабря узнал о существовании если не самой, то, безусловно, одной из самых серьёзных уязвимостей. Она получила обозначение CVE-2021-44228 и была названа по имени библиотеки, в которой её обнаружили.
 
Эта библиотека, Java Apache Log4j, применяемая для ведения журналов, встроена в множество приложений, сервисов и корпоративных программных средств, написанных на Java и используемых по всему миру, что создаёт огромную поверхность для атаки.

Log4j позволяет злоумышленникам без особых усилий удалённо запускать свой код и получать доступ к машинам. Дело дополнительно осложняется тем, что, в случае Log4j даже специалистам по безопасности очень трудно понять, является ли эта библиотека частью их приложений. Как и для многих других программ с открытым исходным кодом, риск здесь передаётся по цепочке поставок.

Даже если крупная организация считает, что она защитила себя от Log4j, всегда остаётся вероятность, что злоумышленники могут взломать её поставщика, который не следит за безопасностью своей ИТ-инфраструктуры так же тщательно, и воспользоваться им как воротами к более крупной и прибыльной цели.

Свежая, повсеместная и элементарная в применении уязвимость нулевого дня так и просилась в руки хакеров, и они не замедлили этим шансом воспользоваться. За считанные часы количество попыток эксплуатации Log4j достигло многих тысяч и продолжает быстро расти. Один из провайдеров услуг кибербезопасности прогнозирует, что в ближайшие дни атаки такого типа охватят почти половину всех корпоративных сетей.

Поначалу взломщики в основном ограничивались заброской криптомайнеров в захваченные системы, но затем последовали более опасные загружаемые «подарки», такие как экземпляры инструмента тестирования защиты от проникновений, Cobalt Strike, часто применяемого для кражи логинов/паролей с целью дальнейшего распространения внутри закрытых сетей.

Достоинства эксплойтов Log4j смогли оценить и кибервымогатели, уже начавшие с их помощью доставку кода Khonsari – нового семейства программ-ransomware с самой базовой функциональностью.

Ну и вишенкой на этом торте стали группы кибершпионажа государственного уровня, так называемые Advanced Persistent Threat (APT). Уже зарегистрированы попытки использования Log4j злоумышленниками, идентифицированными как APT из Китая, Ирана, Северной Кореи и Турции.

Началась работа по локализации новой угрозы. Агентство кибер- и инфраструктурной безопасности (CISA) Министерства внутренней безопасности США требует, чтобы федеральные агентства создали патч, исправляющий ошибку Log4j в течение нескольких дней. Но, как показывает практика, установка такого исправления на миллионах компьютеров растянется на многие годы, причём некоторые машины так и останутся незащищёнными.

Прогнозы неутешительны: Log4j, по всей видимости, останется проблемой на весь 2022 и последующие годы. Как это было с коронавирусом ровно два года назад, мы сейчас можем только поверхностно оценить подлинные риск, масштабы и последствия эксплуатации новой уязвимости.

Лучшее, что могут сделать организации на данный момент, – это следовать советам экспертов, устанавливать обновления для смягчения потенциального ущерба. И надеяться, что в ближайшее время они не прочитают в «Компьютерном Обозрении» о пришествии новых, ещё более катастрофических уязвимостей.