Blog

Log4Shell zaifligi tajovuzkorlarga har qanday zaif tizimda kodni bajarishga imkon beradi. Garchi xakerlar zaiflikdan doimiy ravishda foydalanishsa-da, tadqiqotchilar bu halokatli oqibatlarga olib kelishi mumkinligi haqida ogohlantirmoqda.
9-dekabr kuni birinchi marta e’lon qilingan Log4Shell zaifligi bir sutkadan kamroq vaqt ichida 60 ta katta variantni yaratdi va iCloud, Twitter, Apple’ning Minecraft va boshqa bir qator yirik kompaniyalarni jiddiy xavf ostiga qo’yib, kiberxavfsizlik halokati ekanligini isbotladi.

Xavfsizlik bo’yicha mutaxassislarning xabar berishicha, keng qo’llaniladigan Java jurnalining Apache Log4j kutubxonasidagi osonlik bilan foydalaniladigan nol kunlik zaiflik tajovuzkorlarga istalgan vaqtda zaif veb-saytlarni to’liq nazorat qilish imkonini beradi.

Ochiq kodli logging vositasi Log4Shell ko’plab ochiq kodli dasturlarda, jumladan, o’yin platformalari, tijorat ilovalari va ma’lumotlar markazlarida qo’llaniladi, bu ko’plab dastur va ilovalarni hujumga qarshi himoyasiz qiladi. Ayni paytda kiberxavfsizlik bo‘yicha mutaxassislar Log4j’dagi xavfsizlik zaifligi Apple’ning iCloud, Twitter, Microsoft’ning Minecraft, Amazon va boshqa texnologiya gigantlariga ta’sir qilishi mumkinligi haqida ogohlantirdi.

Log4j zaifliklari hatto tajovuzkorlarga kompyuter tizimlaridan foydalanishga imkon berishi mumkin bo’lsa-da, AQSh Kiberxavfsizlik va infratuzilma agentligi bu haqda ogohlantirish berdi.

Dastlabki ma’lumotlarga ko’ra, Log4Shell dastlab payshanba kuni ekspluatatsiya qilingan, Minecraft birinchi yirik qurbon sifatida nomlangan. Boshqa tomondan, Cisco Talos va Cloudflare xavfsizlik tadqiqotchilari ikki hafta oldin Log4Shell buzilishining dalillarini topdilar.

Kiberxavfsizlik bo’yicha mutaxassislarning fikriga ko’ra, CVE-2021-44228, Log4j-da masofaviy kodni bajarish zaifligi keng tarqalganligi va ulardan foydalanish qulayligi tufayli tuzatish uchun bir necha oy, balki yillar kerak bo’ladi.

Check Point dushanba kuni 845 000 dan ortiq xakerlik urinishlarini to’xtatganini ma’lum qildi, aniqlangan jinoiy guruhlar bu urinishlarning 46% dan ortig’ini tashkil qiladi. Kiberxavfsizlik kompaniyasi har daqiqada zaiflikdan foydalanishga 100 dan ortiq urinishlar kuzatilganini aytdi.

Darhaqiqat, dushanbaga kelib, Check Point kiberxavfsizlik bo’yicha tadqiqotchilar butun dunyo bo’ylab biznes tarmoqlarining 40% dan ortig’ida zaifliklarni aniqladilar. Kiberxavfsizlik provayderi, shuningdek, butun dunyo bo’ylab Log4j zaifligidan eng ko’p ta’sirlangan asosiy maqsadli geografiyalar haqidagi ma’lumotlarni e’lon qildi.

Eng ko’p zarar ko’rgan hududlar. Manba: Check Point.

Boshqa bir kiberxavfsizlik kompaniyasi Lunasec ma’lumotlariga ko’ra, zaiflik xizmatlarning keng doirasiga ta’sir qiladi. Zaifliklar allaqachon Steam va Apple iCloud kabi bulut xizmatlarida va Minecraft kabi ilovalarda topilgan.

Github ma’lumotlariga ko’ra, Apple, Tencent, Steam, Twitter, Baidu, DIDI, JD, NetEase, CloudFlare, Amazon, Tesla, Google, Webex, LinkedIn va boshqalar zarar ko’rgan kompaniyalar qatoriga kiradi. LunaSec kompaniyasining ta’kidlashicha, Apple serverlaridagi zaiflik iPhone nomining oddiy o’zgarishi bilan ham yuzaga kelgan. Aksariyat kompaniyalar hali izoh bermagan.

Tekshirish nuqtasi paydo bo’layotgan yana bir muammo Log4Shell-ning o’zgaruvchan xususiyatidir. Kompaniya ma’lumotlariga ko’ra, uning yangi zararli avlodidan endi «HTTP yoki HTTPS (shifrlangan ko’rish versiyasi) orqali» foydalanish mumkin.

Tadqiqotchilar, shuningdek, evolyutsiya bir sutkadan kamroq vaqt ichida 60 dan ortiq kattaroq, xavfliroq mutantlarni yaratganidan ogohlantirdi.

Check Point ta’kidlashicha, zaiflikdan foydalanishning qancha ko’p usullari bo’lsa, tajovuzkorlar juma kuni kuchga kirgan yangi himoyalarni chetlab o’tish uchun shunchalik ko’p imkoniyatlarga ega bo’ladi. Ularning fikricha, bu xavfsizlikning bir qatlami yetarli emasligini va faqat ko‘p qatlamli xavfsizlik choralari ishonchli himoyani ta’minlay olishini ko‘rsatadi.

Ma’lum bo‘lishicha, tajovuzkorlar Log4Shell zaifligidan kamida 1 dekabrdan boshlab foydalanishgan. O‘tgan hafta oxirida CVE-2021-44228 rasman e’lon qilinishi bilanoq, tajovuzkorlar zararli tugunlar atrofida to‘plana boshlagan.

Sophos tadqiqotchilari 9-dekabrdan beri «ushbu zaiflikdan foydalangan holda yuz minglab masofaviy kodni bajarish urinishlarini allaqachon aniqlaganliklarini» aytishdi va boshqa firmalar (shu jumladan Cloudflare) jurnallarini qidirish zaiflikdan bir necha hafta davomida erkin foydalanilganini ko’rsatganini ta’kidladilar.