Apache Log4j2 exploitation in aeronautical, maritime, and aerospace communication

Abstract

Tässä kyberturvallisuuden pro gradu -tutkielmassa esitellään koeasetelma langattomien ACARS, ADS-B ja AIS -tietoliikenneprotokollien tutkimiseen käyttäen ohjelmistoradioita ja avoimen lähdekoodin ohjelmistoja. Protokollia käytetään hyökkäysreittinä Apache Log4j2 Java-ohjelmakirjaston haavoittuvuuksien hyväksikäytölle. Kirjallisuuskatsauksessa käsitellään tutkielman taustat sekä aiemmat tutkimustulokset. Artikkeliosuudessa kuvaillaan menetelmiä kriittisen CVE-2021-44228 "log4shell" haavoittuvuuden sekä muiden siihen liittyvien haavoittuvuuksien tutkimiseen hyödyntäen tietoisesti haavoittuvaksi tehtyä ohjelmistoa. Valittujen protokollien kyvykkyyttä CVE-2021-44228-haavoittuvuuden vaatimien merkkijonojen siirtämiseen tutkitaan niiden määrittelydokumentteihin perustuen. Skenaarioita, joissa turvallisuuden kannalta kriittiset tietoliikennejärjestelmät voisivat olla haavoittuvia, osoitetaan kokeellisesti mahdolliseksi. Tutkielman keskeinen löydös on, että kaikki tutkitut protokollat mahdollistavat log4shell-kyberhyökkäysten toteuttamisen langattomasti, kun tunnetut ennakkoehdot täyttyvät. Lisäksi tutkielman artikkeliosuudessa tuodaan ilmi merkittäviä uusia löydöksiä Log4j2-ohjelmakirjaston haavoittuvuudesta, joka mahdollistaa vakavien palvelunestohyökkäysten toteuttamisen.

In this master’s thesis on cyber security accessible methodology for over-the-air experiments using ACARS, ADS-B, and AIS telecommunication protocols is proposed, using software-defined radios, and utilising open-source and freeware software. The protocols are used as attack vectors for exploitation of Apache Log4j2 Java-library’s vulnerabilities. Methods for studying CVE-2021-44228 "log4shell" remote code execution and related vulnerabilities using intentionally vulnerable software are presented. The telecommunication protocols’ capabilities in transmitting CVE-2021-44228 and related cyberattack strings are evaluated by studying protocol specifications to identify probable attack vectors. Practical scenarios, in which mission critical and safety-of-life information systems could be exploitable, are experimentally demonstrated. All three studied protocols are found to be susceptible for wireless log4shell-cyberattacks, when identified preconditions are met. Moreover, novel findings concerning a high-severity Log4j2 denial of service vulnerability are presented.