Log4Shell turvanõrkus

Ardi Jürgens
Jaga:

Möödunud 24 tundi on olnud ülemaailmselt infotehnoloogia valdkonna jaoks pingelised. 

Maailma ühe eelistatuma tarkvaraarendusplatvormi Java populaarsest logide käitlemise raamistikust Log4j avastati turvanõrkus (https://nvd.nist.gov/vuln/detail/CVE-2021-44228), mida on väga lihtne ära kasutada. Nõrkuse edukal ekspluateerimisel on ründajal võimalik panna ohvri server, arvuti vms seade  oma pilli järgi tantsima. Seepärast on nõrkus saanud endale ka vastava nime: Log4Shell.

Nagu arvata võite, siis on süsteemiadministraatorid, tehnikud ja tarkvaraarendajad jt üle maailma  rakkes sellega, et maandada selle nõrkusega seotud riske.

Sellest, kuivõrd laialdane on selle intsidendi mõju, annab aimu järgmine nimekiri mõjutatud ettevõtetest ja platvormidest: https://github.com/YfryTchsGD/Log4jAttackSurface

Nõrkus saab ilmneda pea igas situatsioonis kus üritatakse logida midagi, mis saabub ründajalt. Olgu see siis kasutaja veebibrauseri User Agent või vea tekitanud sisend. Turvaauk tekkiski sellest, et logimise mugavdamiseks mõeldud funktsionaalsus oli kättesaadav igale logisõnele mis log4j-ni jõudis. Võimalus küsida lisainfot JNDIga suvalisest LDAP kataloogiserverist (sellest ka näidetes leiduv jdni:ldap:// osa) võimaldab serverisse tõmmata täiesti ründaja valitud Java objekte. See on juba püha graal igale ründajale.

Zone poolt hallatud veebimajutusteenuste osas oli Log4j nõrkuse ärakasutamise risk õnneks minimaalne, ka täiendavaid turvameetmeid rakendamata.

Meie pakutavas platvormis pole lihtsalt kuigi palju Java põhiseid komponente, mis seda teeki kasutaks. 

Välja toomist tasub neist vaid üks – Elasticsearch, aga Zone teenuste raames kliendile pakutav Elasticsearch instants pole interneti kaudu saabunud külastajatele või teistele klientidele ligipääsetav, mis maandab nii selle kui ka teiste sarnaste nõrkuste ärakasutamise riski.

Sellegipoolest rakendasime juba eile Elasticsearchi osas täiendavaid turvameetmeid, et takistada teadaolevaid nõrkuse ärakasutamise meetodeid.

Meie kliendid peaksid siiski pöörama tähelepanu sellele, et nende tarkvaraarendajad või veebimeistrid võivad olla ise paigaldanud meie serveritesse tarkvara, mis Log4j kasutab. Selline tarkvara vajab kindlasti uuendamist või nõrkusega seotud riskide maandamist.

Täiendus: Ilmselt on üks levinumatest mõjutatud rakendustest Minecraft, kui teil tiksub kuskil pilve nurgas mõni ununenud Minecrafti server, siis nüüd on õige aeg sellega tegeleda!

Soovitame teemast huvitatutele ja mõjutatutele jälgimiseks järgmist Redditi jutulõime: https://www.reddit.com/r/netsec/comments/rcwws9/rce_0day_exploit_found_in_log4j_a_popular_java/

Rõhutame ka, et üldlevinud rakendused nagu WordPress, Drupal, Joomla ja nende laiendused, ei kasuta reeglina Java põhiseid komponente, mis võiksid sõltuda Log4j teegist.

Popular posts

Zone blogi 16

Pidupäev: Zone blogi 16!

Jaanus Putting
Täna 16 aastat tagasi, 3. novembril 2006 nägi ilmavalgust Zone blogi. Oma kõige-kõige esimeses postituses rõõmustasime toonase olulise verstaposti,...

Elektrivarustus eriolukorras

Ardi Jürgens
Energiavarustus on hetkel äärmiselt aktuaalne teema ja ka meie poole on korduvalt pöördutud küsimustega, mis puudutavad Zone infosüsteemide talitlusvõimet...

Zone klienditugi ehk kuidas võimas tosin aitab 200 000 kasutajat

Kaarel Urva
Mina olen Kaarel ja kirjutan seekordses blogiartiklis Zone klienditoest ning sellest, kuidas ka sina saaksid oma ettevõtte kliendituge efektiivsemaks...

SPF ja Gmail. Jälle!

Kaarel Urva
Ehk miks Gmail mu kirjad tagasi lükkab? Alates 7. juunist on Gmail hakanud tagasi lükkama kõiki e-kirju, mis saabuvad domeenidelt, millel on puudu SPF...