Σήμερα θα μιλήσουμε για ένα θέμα ασφαλείας που προέκυψε τη τελευταία εβδομάδα και μας απασχολεί όλους. Ειδικά εμείς που διαχειριζόμαστε mini servers στο οικιακο μας περιβάλλον(για παράδειγμα pi-hole ή linux smart gateways) εκθέτοντας τους  server στο internet για λόγους διαχείρισης έχουμε και τον μεγαλύτερο κίνδυνο.

Τι είναι το Log4j;

Το log4j είναι μία από τις πιο γνωστές βιβλιοθήκες που χρησιμοποιούν οι προγραμματιστές για να δημιουργούν αρχεία καταγραφής δραστηριοτήτων με σκοπό την ανάλυση τους για την επίλυση προβλημάτων στον κώδικά τους. Η opensource και δωρεάν χρήση της βιβλιοθήκης τη καθιστά τόσο δημοφιλή που το προβλημα που προέκυψε αγγίζει πλέον κάθε μέρος του διαδικτύου. Ακόμα και αν δεν είσαι προγραμματιστής ή είσαι προγραμματιστής που δεν χρησιμοποιεί τη συγκεκριμένη βιβλιοθήκη παραμένεις ευάλωτος στο κενό ασφαλείας καθώς η βιβλιοθήκη μπορεί να έχει εγκατασταθεί στον server χωρίς να το γνωρίζουμε.

Τι πρόβλημα δημιουργεί;

Αυτό το κενό ασφαλείας δίνει την δυνατότητα στον επιτιθέμενο να κάνει RCE(Remote Code Execution) κατευθείαν στον server με σκοπό να αποκτήσει πρόσβαση στον ίδιο τον server αλλα και στα δεδομένα του. Μία επιπλέον ευπάθεια στο Log4j εντοπίστηκε τη Τρίτη το βράδυ στόν κώδικα του Apache και αντιμετωπίστηκε απο το Apache Software Foundation με πακέτο αναβάθμισης. 

Σύμφωνα με την εταιρία κυβερνοασφάλειας checkpoint απο την Τρίτη έχουμε τουλάχιστον 100 απόπειρες κυβερνοεπίθεσης ανα λεπτό και πως θα χρειαστούν αρκετά χρόνια ωστε να αντιμετωπιστεί το κενό ασφαλείας σε ολους τους servers.

Και επειδή μερικές φορές τα πράγματα δεν πάνε όπως τα περιμένουμε, καλο θα ειναι να κάνουμε το extra mile ώστε να βεβεωθούμε οτι έχουμε φροντίσει να κλείσουμε τη πόρτα στο explot.


Πώς αντιμετωπίζουμε το ζήτημα;

Αρχικά είναι σημαντικό να αναβαθμίσουμε τη java run time engine στα project μας στη τελευταία έκδοση. Φροντίζουμε να τρέχουμε πάντα τις τελευταίες εκδόσεις στις εφαρμογές μας. Έχεις Apache; τότε μπές εδω για να μάθεις πως θα προστατευτείς. Επίσης στα δυο παρακέτω link μπορείς να βρείς 2 εργαλεία που θα κάνουν αυτοέλεγχο και θα σε ενημερώσουν αν το σύστημα σου ειναι ανοιχτό στην ευπάθεια Log4j.

https://github.com/leonjza/log4jpwn

https://github.com/rubo77/log4j_checker_beta

Κλείνωντας θα πρεπει να σας υπενθημίσω οτι μιλάμε για ενα zero day exploit που δεν σηκώνει αναβολή, σε περίπτωση που εντοπιστεί ευπάθεια πρέπει να κλεισει το συντομότερο δυνατό.

Αν σου άρεσε αυτό post μπορείς να κάνεις εγγραφή στο newsletter ώστε να λαμβανεις ενα mail όταν βγαίνει νέο post.