Eksploit Apache Log4j może mieć wpływ na Minecraft: Java Edition, Amazon, Twitter i wiele innych, ale można go załatać.
Odkryto daleko idącą lukę bezpieczeństwa typu zero-day, która może pozwolić na zdalne wykonanie kodu na serwerze przez niepowołane osoby i która może mieć wpływ na wiele aplikacji internetowych, w tym Minecraft: Java Edition, Steam, Twitter i wiele innych, jeśli nie zostanie załatana.
Exploit został zidentyfikowany jako CVE-2021-44228, który został oznaczony jako 9.8 w skali dotkliwości przez (Red Hat), ale jest na tyle świeży, że wciąż czeka na analizę przez NVD. Działa on w szeroko stosowanej bibliotece logowania Apache Log4j Java, a niebezpieczeństwo polega na tym, że umożliwia użytkownikowi uruchomienie kodu na serwerze – potencjalnie przejmując całkowitą kontrolę bez odpowiedniego dostępu lub uprawnień – poprzez wykorzystanie komunikatów dziennika.
„Napastnik, który może kontrolować komunikaty dziennika lub parametry komunikatów dziennika, może wykonać dowolny kod załadowany z serwerów LDAP, gdy włączone jest podstawianie wiadomości” – czytamy w opisie (CVE ID).
Błąd może mieć wpływ na Minecraft: Java Edition, Tencent, Apple, Twitter, Amazon i wielu innych dostawców usług online. Dzieje się tak dlatego, że choć Java nie jest już tak powszechna dla użytkowników, to nadal jest szeroko wykorzystywana w aplikacjach korporacyjnych. Na szczęście Valve stwierdziło, że Steam nie jest dotknięty problemem.
„Natychmiast przejrzeliśmy nasze usługi, które korzystają z log4j i sprawdziliśmy, czy nasze zasady bezpieczeństwa sieciowego blokują pobieranie i wykonywanie niezaufanego kodu” – powiedział przedstawiciel Valve w rozmowie z PC Gamer. „Nie sądzimy, by istniało jakiekolwiek ryzyko dla Steam związane z tą luką”.
Jeśli chodzi o poprawkę, to na szczęście jest kilka opcji. Błąd podobno dotyczy wersji log4j pomiędzy 2.0 a 2.14.1. Aktualizacja do wersji 2.15 Apache Log4j jest najlepszym sposobem na zniwelowanie problemu, jak opisano na stronie poświęconej błędom w bezpieczeństwie Apache Log4j. Chociaż użytkownicy starszych wersji mogą się również zabezpieczyć ustawiając właściwość systemową „log4j2.formatMsgNoLookups” na „true” lub usuwając klasę JndiLookup ze ścieżki klas.
Jeśli używasz serwera używającego Apache, takiego jak twój własny serwer Minecraft Java, będziesz chciał zaktualizować natychmiast do nowszej wersji lub załatać starszą wersję jak powyżej, aby upewnić się, że twój serwer jest chroniony. Podobnie, Mojang wydał łatkę zabezpieczającą klientów gier, a dalsze szczegóły można znaleźć (here).
Bezpieczeństwo graczy jest dla nas najwyższym priorytetem. Niestety, dzisiaj zidentyfikowaliśmy lukę w zabezpieczeniach Minecraft: Java Edition.
Błąd został załatany, ale proszę postępować zgodnie z poniższymi krokami, aby zabezpieczyć swojego klienta gry i/lub serwery. Please RT to amplify.https://t.co/4Ji8nsvpHf
– Minecraft (@Minecraft) December 10, 2021
Długoterminowa obawa jest taka, że podczas gdy ci, którzy wiedzą, co się dzieje, zniwelują potencjalnie niebezpieczną lukę, wielu innych pozostanie w niewiedzy i może pozostawić ją niezałataną przez długi czas.
Wiele osób już teraz obawia się, że luka jest wykorzystywana, w tym CERT NZ. W związku z tym, wielu użytkowników korporacyjnych i chmurowych prawdopodobnie będzie się spieszyć, aby załatać dziurę tak szybko, jak to możliwe.
„Ze względu na łatwość wykorzystania i szeroki zakres zastosowań, podejrzewamy, że osoby odpowiedzialne za ransomware natychmiast zaczną wykorzystywać tę lukę” – mówi firma Randori w swoim blogu (blog post) na temat tej luki.
