De lijst met services met een internetgerichte infrastructuur die kwetsbaar is voor een kritieke zero-day-kwetsbaarheid in het open source Log4j-logboekhulpprogramma is immens en leest als een who’s who van de grootste namen op internet, waaronder Apple, Amazon, Cloudflare, Steam , Tesla, Twitter en Baidu.
De kwetsbaarheid, nu onder de naam Log4Shell, kwam donderdagmiddag aan het licht toen verschillende Minecraft diensten en nieuwssites waarschuwden voor actief circulerende aanvalscode die misbruik maakte van de kwetsbaarheid om kwaadaardige code uit te voeren op servers en clients met ’s werelds bestverkochte game. Al snel werd duidelijk dat Minecraft was slechts een van de waarschijnlijk duizenden grote namen die door soortgelijke aanvallen kunnen worden geveld.
EEN compilatie van screenshots gepost online documenten hoe enkele van ’s werelds meest populaire en vertrouwde cloudgebaseerde services reageren wanneer ze parameters krijgen die bij de aanval worden gebruikt. Te weten:
Apple-iCloud.
Apple iCloud deel II.
Amazone.
Wolkvlam.
Twitteren.
Stoom.
Tesla.
Tencent.
Baidu.
De afbeeldingen gebruiken een lekdetectieservice voor domeinnamen, dnslog.cn genaamd, om te zien of de doelcloudservice een DNS-lookup uitvoert. Elke afbeelding laat zien dat de service verbindingen accepteert van een door een aanvaller bestuurde machine (zoals blijkt uit het IP-verbindingslogboek).
“Normaal gesproken zou het typen van iets in een gebruikersnaamvak nooit externe netwerkverbindingen tot stand moeten brengen, dus het feit dat het wel bewijst dat Log4j hier wordt gebruikt en daarom dat de server kwetsbaar kan zijn voor de aanval op de uitvoering van externe code”, Ars-lezer skizzerz uitgelegd in de reacties hieronder.
Hoewel de afbeeldingen laten zien dat de services op onbedoelde en potentieel gevaarlijke manieren reageren op de invoer van de gebruiker, zijn de services niet automatisch kwetsbaar voor de soorten code-uitvoeringsaanvallen die gecompromitteerd zijn Minecraft servers. Dat komt omdat deze services doorgaans meerdere verdedigingslagen hebben. Als een laag faalt, zijn er vaak extra lagen beschikbaar om echte schade te verminderen of volledig te elimineren.
Aan de andere kant tonen de afbeeldingen aan dat onbevoegden Log4Shell kunnen misbruiken om toegang te krijgen tot de servers van enkele van ’s werelds machtigste bedrijven op manieren die ze nooit bedoeld hadden. Gevraagd naar de toegang tot Apple-servers, zei Malwarebytes-directeur van Mac-aanbiedingen Thomas Reed: “Dit is veel erger dan wanneer individuele apparaten kwetsbaar zouden zijn, en ik denk dat het op dit moment een open vraag is wat voor soort gegevensaanvallers waarschijnlijk uit Apple’s diensten as we speak.” Apple-vertegenwoordigers reageerden niet op een e-mail waarin om commentaar werd gevraagd.
Cloudflare, ondertussen, zei in een bericht dat het stappen heeft ondernomen om aanvallen op zijn netwerk en tegen zijn klanten te blokkeren. Joe Sullivan, Chief Security Officer van Cloudflare, zei dat zijn team niet in staat is geweest om het gedrag op de afbeelding te reproduceren en de getoonde IP-adressen niet herkent.
Minecraft heeft vrijdag een fix uitgerold.
Het voordeel is dat het nu te vroeg is om te zeggen dat deze diensten niet kwetsbaar zijn. Voorlopig moeten mensen op hun hoede blijven en wachten op advies van de getroffen providers.
Lijstafbeelding door Jeffrey Coolidge / Getty Images