Posljednjih dana na netu se dosta pričalo o ranjivosti Log4j u kojoj su otkriveni različiti vektori napada i filtrirani su različiti funkcionalni eksploati kako bi se iskoristila ranjivost.
Ozbiljnost stvari je u tome što je ovo popularan okvir za organizovanje registra u Java aplikacijama., koji omogućava izvršavanje proizvoljnog koda kada se posebno formatirana vrijednost upiše u registar u formatu "{jndi: URL}". Napad se može izvesti na Java aplikacije koje bilježe vrijednosti dobivene iz vanjskih izvora, na primjer prikazivanjem problematičnih vrijednosti u porukama o grešci.
I to je to napadač postavlja HTTP zahtjev na ciljnom sistemu, koji generiše zapisnik koristeći Log4j 2 Koji koristi JNDI da uputi zahtjev web lokaciji pod kontrolom napadača. Ranjivost tada uzrokuje da eksploatirani proces stigne na lokaciju i izvrši korisni teret. U mnogim uočenim napadima, parametar koji pripada napadaču je sistem registracije DNS-a, namijenjen registraciji zahtjeva na web lokaciji za identifikaciju ranjivih sistema.
Kao što je naš kolega Isaac već podijelio:
Ova ranjivost Log4j omogućava iskorištavanje netačne provjere valjanosti unosa u LDAP, omogućavajući daljinsko izvršavanje koda (RCE), i kompromitovanje servera (povjerljivost, integritet podataka i dostupnost sistema). Osim toga, problem ili važnost ove ranjivosti leži u broju aplikacija i servera koji je koriste, uključujući poslovni softver i usluge u oblaku kao što su Apple iCloud, Steam ili popularne video igre kao što su Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash i long itd.
Govoreći o tom pitanju, nedavno objavljena Apache Software Foundation Mediante post sažetak projekata koji rješavaju kritičnu ranjivost u Log4j 2 koji dozvoljava proizvoljnom kodu da se pokrene na serveru.
Pogođeni su sljedeći Apache projekti: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl i Calcite Avatica. Ranjivost je takođe uticala na GitHub proizvode, uključujući GitHub.com, GitHub Enterprise Cloud i GitHub Enterprise Server.
Posljednjih dana došlo je do značajnog porasta aktivnosti vezane za iskorištavanje ranjivosti. Na primjer, Check Point je prijavio oko 100 pokušaja eksploatacije u minuti na svojim fiktivnim serverima na vrhuncu, a Sophos je najavio otkriće novog botneta za rudarenje kriptovaluta, formiranog od sistema sa nezakrpljenom ranjivosti u Log4j 2.
Što se tiče informacija koje su objavljene o problemu:
- Ranjivost je potvrđena na mnogim zvaničnim Docker slikama, uključujući couchbase, elasticsearch, flink, solr, slike oluje, itd.
- Ranjivost je prisutna u MongoDB Atlas Search proizvodu.
- Problem se pojavljuje u raznim Cisco proizvodima, uključujući Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- Napredno izvještavanje o web sigurnosti, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA centar, Cisco. BroadWorks itd.
- Problem je prisutan u IBM WebSphere Application Server i u sljedećim Red Hat proizvodima: OpenShift, OpenShift logging, OpenStack platforma, Integration Camel, CodeReady Studio, Data Grid, Fuse i AMQ tokovi.
- Potvrđen problem u platformi za upravljanje svemirskom mrežom Junos, Northstar kontroleru / planeru, Paragon Insights / Pathfinder / Planer.
- Mnogi proizvodi iz Oraclea, vmWarea, Broadcoma i Amazona također su pogođeni.
Apache projekti na koje ne utiče ranjivost Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper i CloudStack.
Korisnicima problematičnih paketa savjetujemo da hitno instaliraju objavljena ažuriranja za njih, zasebno ažurirajte verziju Log4j 2 ili postavite parametar Log4j2.formatMsgNoLookups na true (na primjer, dodavanjem ključa "-DLog4j2.formatMsgNoLookup = True" pri pokretanju).
Za zaključavanje sistema je ranjiv kojem nema direktnog pristupa, predloženo je da se iskoristi vakcina Logout4Shell, koja izvršenjem napada otkriva Java postavku "log4j2.formatMsgNoLookups = true", "com.sun.jndi .rmi.object. trustURLCodebase = lažno "i" com.sun.jndi.cosnaming.object.trustURLCodebase = lažno "za blokiranje daljih manifestacija ranjivosti na nekontrolisanim sistemima.