רד-אנטרי
New member
ספריית ה- Log4j היא ספרייה האוספת לוגים (נתונים על כל תנועה ובקשה שמתבצעת במערכת עליה היא מותקנת), כמו יומן, ומאפשרת למפתחי תוכנה לעקוב אחר הנתונים. בעזרת הנתונים שנאספים, מפתחי התוכנה יכולים לנתח את תנועות המשתמשים ולחפש באגים.
ה- Log4j תוכנת על ידי חברת Apache, שהיא חברת Open Source האחראית על שליחת בקשות של משתמשי אינטרנט (בשמם המקצועי- בקשות HTTP). הספרייה תוכנתה בשפת Java- שפת תכנות שהייתה פופלרית מאוד בשנות התשעים, ומהווה הבסיס למערכות רבות. במקור היא תוכננה כדי לרוץ על פלטפורמות כמו תוכנת עיצוב גרפי macOS, ווינדוס ולינוקס (מערכת הפעלה כמו ווינדוס, רק שהיא מוגדרת כקוד פתוח).
העובדה ש-Log4j היא Open Source הפכה אותה לפופולרית במיוחד, ומערכת זו מוטמעת בכמעט גל פינה ברשת הגלובלית- ממשחקי מחשב, לאתרי קנייה גדולים ועד למערכות חיוניות כמו מערכות אספקת מים, אנרגיה, חשמל ועוד. במילים אחרות, כולם בבעיה.
ההתראה הראשונה על פוטנציאל לפגיעות הגיע לצוות המפתחים של APACHE בנובמבר 24 על ידי צוות אבטחת המידע של ALIBABA, אתר הקניות הסיני הענק.
אולם הציבור הרחב נודע לבעיה המשמעותית הזו בדצמבר 9, לאחר שצוות אבטחת המידע של משחק המחשב SandBox מבית מיינקראפט (כן, מבית היוצר של הריקוד הידוע לשמצה) פרסם פוסט בבלוג שלהם שמזהיר את כל משתמשי המשחק מהפגיעות. הצוות פרסם גם פא'ץ (עדכון), אך מהר מאוד התגלה שהבעיה נמצאת לא רק במערכות הרלוונטיות למשחק הספציפי, אלא ב-Log4j הפופולרי.
הפגיעות קיבלה את השם CVE-2021-44228 (כי תמיד חייב שם ארוך), או בשמה הנוח יותר Log4j, והיא מנצל פרוטוקל הנקרא JNDI.
פרוטוקל ה-JNDI של java מאפשר שליפת מידע משרת אחר, שעוזר בתהליך אסיפת הלוגים ושיוכם למערכת המתאימה. הדבר אינו דבר מסוכן בהכרח, מפני שלרוב הספקים קובעים מאיזה שרת יש להביא את המידע. אולם התגלה שניתן לשלוח בקשה ל-JNDI לגשת לכל שרת בעולם ולשלוף פריט לבחירתי.
כך לדוגמא, האקרים יכלו לשלוח בקשת HTTP שמנתב את הפרוטוקול לגשת לאתר אישי שלי ולהוריד תוכנת Malware. במקרה זה, נוצל פרוטקול ה-JNDI בעזרת פרוטוקול אחר ששמו LDAP. אולם הבעייתיות הרבה בפגיעות זו היא המגוון הרב של הדרכים בהם ניתן לנצל את ה-JNDI, בין היתר בעזרת פרוטוקלים נוספים ששמם DNS ו-RMI.
חשוב לפנות לחברות המספקות שירותי אבטחת מידע לעסקים וארגונים כדי לוודא שלא נפגעתם מהפגיעות.
ה- Log4j תוכנת על ידי חברת Apache, שהיא חברת Open Source האחראית על שליחת בקשות של משתמשי אינטרנט (בשמם המקצועי- בקשות HTTP). הספרייה תוכנתה בשפת Java- שפת תכנות שהייתה פופלרית מאוד בשנות התשעים, ומהווה הבסיס למערכות רבות. במקור היא תוכננה כדי לרוץ על פלטפורמות כמו תוכנת עיצוב גרפי macOS, ווינדוס ולינוקס (מערכת הפעלה כמו ווינדוס, רק שהיא מוגדרת כקוד פתוח).
העובדה ש-Log4j היא Open Source הפכה אותה לפופולרית במיוחד, ומערכת זו מוטמעת בכמעט גל פינה ברשת הגלובלית- ממשחקי מחשב, לאתרי קנייה גדולים ועד למערכות חיוניות כמו מערכות אספקת מים, אנרגיה, חשמל ועוד. במילים אחרות, כולם בבעיה.
ההתראה הראשונה על פוטנציאל לפגיעות הגיע לצוות המפתחים של APACHE בנובמבר 24 על ידי צוות אבטחת המידע של ALIBABA, אתר הקניות הסיני הענק.
אולם הציבור הרחב נודע לבעיה המשמעותית הזו בדצמבר 9, לאחר שצוות אבטחת המידע של משחק המחשב SandBox מבית מיינקראפט (כן, מבית היוצר של הריקוד הידוע לשמצה) פרסם פוסט בבלוג שלהם שמזהיר את כל משתמשי המשחק מהפגיעות. הצוות פרסם גם פא'ץ (עדכון), אך מהר מאוד התגלה שהבעיה נמצאת לא רק במערכות הרלוונטיות למשחק הספציפי, אלא ב-Log4j הפופולרי.
הפגיעות קיבלה את השם CVE-2021-44228 (כי תמיד חייב שם ארוך), או בשמה הנוח יותר Log4j, והיא מנצל פרוטוקל הנקרא JNDI.
פרוטוקל ה-JNDI של java מאפשר שליפת מידע משרת אחר, שעוזר בתהליך אסיפת הלוגים ושיוכם למערכת המתאימה. הדבר אינו דבר מסוכן בהכרח, מפני שלרוב הספקים קובעים מאיזה שרת יש להביא את המידע. אולם התגלה שניתן לשלוח בקשה ל-JNDI לגשת לכל שרת בעולם ולשלוף פריט לבחירתי.
כך לדוגמא, האקרים יכלו לשלוח בקשת HTTP שמנתב את הפרוטוקול לגשת לאתר אישי שלי ולהוריד תוכנת Malware. במקרה זה, נוצל פרוטקול ה-JNDI בעזרת פרוטוקול אחר ששמו LDAP. אולם הבעייתיות הרבה בפגיעות זו היא המגוון הרב של הדרכים בהם ניתן לנצל את ה-JNDI, בין היתר בעזרת פרוטוקלים נוספים ששמם DNS ו-RMI.
חשוב לפנות לחברות המספקות שירותי אבטחת מידע לעסקים וארגונים כדי לוודא שלא נפגעתם מהפגיעות.