Krytyczna luka w zabezpieczeniach ujawniona w zeszłym tygodniu w pakiecie logów Java Log4j wstrząsnęła branżą. Amerykańska rządowa agencja obawia się, że na atak hakerów jest wystawionych setki milionów urządzeń. To możliwe, biorąc pod uwagę, jak często ta biblioteka open source była wykorzystywana do tworzenia oprogramowania dla przedsiębiorstw.

„Ta luka jest jedną z najpoważniejszych, jakie widziałam w całej mojej karierze, jeśli nie najpoważniejszą” – stwierdziła w CNN Jen Easterly, dyrektor CISA (Cybersecurity and Infrastructure Security Agency). W branży jest od 20 lat.

Jak twierdzi amerykański CRN, aż 10 dużych dostawców technologii jest dotkniętych luką Log4j (Log4Shell).

Wrażliwy kod można znaleźć w produktach i usługach Cisco, IBM, VMware, AWS, Fortinet, Broadcom, a także ConnectWise, N-able, Okta i HCL – wskazuje CRN USA. Zdnet wymienia także produkty takich marek jak Microsoft Azure, Oracle, Red Hat, Splunk.

Produceci od kilku dni gorączkowo opracowują łatki i aktualizacje. Niektóre są już dostępne, ale na część trzeba będzie czekać być może nawet do początku 2022 r. Wydaje się to za długo, biorąc pod uwagę, z jaką szybkością działają cyberprzestępcy, co udowodnił niedawny eksperyment dotyczący usług chmurowych.

Było już setki tysięcy ataków (a to dopiero początek)

Tymczasem czas mija nieubłaganie. Już na początku grudnia br. eksperci ds. cyberbezpieczeństwa zaobserwowali zmasowaną akcję skanowania w poszukiwaniu luki Log4j. Tylko w ciągu kilku ostatnich dni ataki stwierdzono już w ponad 40 proc. polskich firm – według Check Point.

Sophos wykrył na świecie setki tysięcy prób ataków wykorzystujących tę podatność, m.in. z pomocą programów do „kopania” kryptowalut.

Według badaczy cyberprzestępcy będą w najbliższych tygodniach intensyfikowali działania i wykorzystywali błąd m.in. do ataków ransomware.

Nie ma jednej poprawki

Co gorsza, jak zauważają eksperci, nie da się zmontować jednej uniwersalnej poprawki dla feralnego błędu.
„Powszechne wykorzystanie biblioteki Log4j w usługach i aplikacjach sprawia, że luka Log4Shell jest wyjątkowo trudna do wykrycia i załatania” – stwierdza Sophos.

Log4Shell dotyczy oprogramowania, które jest wykorzystywane przez wiele rozwiązań i produktów. Może więc
być obecna w wielu miejscach firmowych sieci i systemów.

Przedsiębiorstwa muszą więc trzymać rękę na pulsie i reagować na zmiany wprowadzane przez dostawców używanego przez nich oprogramowania.

Giganci łatają na potęgę

Np. w przypadku Cisco błąd Log4j dotyczy 35 narzędzi wykorzystywanych w różnych produktach, przede wszystkim w UCC oraz w zarządzaniu i udostępnianiu sieci. Obecnie już wdrożono kilka poprawek, w drodze są kolejne. W usługach chmurowych załatano 7 narzędzi, 5 jeszcze czeka na aktualizacje.

Luka może umożliwić zdalne wykonanie kodu w prawie 40 produktach VMware (wiele należy do linii Tanzu, vRealize, Spring Cloud, Carbon Black). Firma wprowadziła obejście dla większości zagrożonych produktów, a poprawka jest jak dotąd dostępna dla około jednej trzeciej.

W IBM dziurawa biblioteka została wykorzystana w IBM Watson Explorer oraz przez serwer WebSphere Application Server. Producent apeluje o jak najszybsze ściągnięcie aktualizacji i poprawek.

AWS m.in. poinformował, że zajmuje się luką Log4j w przypadku wszelkich usług, które wykorzystują kod open source, albo dostarczają go klientom w ramach swoich usług. Apeluje do klientów zarządzających środowiskami zawierającymi Log4j o aktualizacje do najnowszej wersji. Aktualizacje dla AWS Greengrass mają być dostępne w piątek.

Klastry AWS EMR uruchomione w EMR 5 i EMR 6 obejmują platformy open source, takie jak Apache Hive, Flink, HUDI, Presto i Trino, które wykorzystują podatne na ataki wersje Log4j. Tutaj firma także pracuje nad poprawkami.

Błąd Log4j dotyczy dwunastu produktów Fortinetu, poprawiono dotąd trzy.

Także Broadcom ustalił, że niektóre lub wszystkie wersje zaawansowanego uwierzytelniania CA, ujednoliconego zarządzania dostępem Symantec SiteMinder i produktów VIP Authentication Hub są narażone poprzez Log4Shell.