Během posledních dnů na netu se hodně mluvilo o zranitelnosti Log4j, ve kterém byly objeveny různé útočné vektory a byly také filtrovány různé funkční exploity za účelem zneužití zranitelnosti.
Závažnost věci je v tom, že se jedná o oblíbený rámec pro organizaci registru v aplikacích Java., který umožňuje spuštění libovolného kódu, když je do registru zapsána speciálně formátovaná hodnota ve formátu "{jndi: URL}". Útok lze provést na Java aplikace, které logují hodnoty získané z externích zdrojů, například zobrazováním problematických hodnot v chybových zprávách.
A útočník zadá požadavek HTTP na cílový systém, který vygeneruje protokol pomocí Log4j 2 Který používá JNDI k odeslání požadavku na web kontrolovaný útočníkem. Tato zranitelnost pak způsobí, že využívaný proces dorazí na web a spustí užitečné zatížení. V mnoha pozorovaných útocích je parametrem, který patří útočníkovi, registrační systém DNS, který má na webu zaregistrovat požadavek na identifikaci zranitelných systémů.
Jak již sdílel náš kolega Isaac:
Tato zranitelnost Log4j umožňuje zneužít nesprávné ověření vstupu do LDAP, což umožňuje vzdálené spuštění kódu (RCE) a ohrožení serveru (důvěrnost, integrita dat a dostupnost systému). Kromě toho problém nebo důležitost této zranitelnosti spočívá v počtu aplikací a serverů, které ji používají, včetně podnikového softwaru a cloudových služeb, jako je Apple iCloud, Steam, nebo populárních videoher, jako je Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash a long atd.
Když o tom mluvím, nedávno vydala Apache Software Foundation skrz příspěvek souhrn projektů, které řeší kritickou zranitelnost v Log4j 2 což umožňuje spuštění libovolného kódu na serveru.
Jsou ovlivněny následující projekty Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl a Calcite Avatica. Chyba zabezpečení ovlivnila také produkty GitHub, včetně GitHub.com, GitHub Enterprise Cloud a GitHub Enterprise Server.
V posledních dnech došlo k výraznému nárůstu činnosti související se zneužitím zranitelnosti. Například, Check Point zaznamenal přibližně 100 pokusů o zneužití za minutu na svých fiktivních serverech svého vrcholu a Sophos oznámil objev nového botnetu pro těžbu kryptoměn, vytvořeného ze systémů s neopravenou zranitelností v Log4j 2.
Pokud jde o informace, které byly o problému zveřejněny:
- Tato chyba zabezpečení byla potvrzena v mnoha oficiálních obrázcích Docker, včetně obrázků couchbase, elasticsearch, flink, solr, bouře atd.
- Tato chyba zabezpečení se vyskytuje v produktu MongoDB Atlas Search.
- Problém se objevuje u různých produktů Cisco, včetně Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- Advanced Web Security Reporting, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks atd.
- Problém se vyskytuje v IBM WebSphere Application Server a v následujících produktech Red Hat: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse a AMQ Streams.
- Potvrzený problém v Junos Space Network Management Platform, Northstar Controller / Planner, Paragon Insights / Pathfinder / Planner.
- Postiženo je také mnoho produktů od společností Oracle, vmWare, Broadcom a Amazon.
Projekty Apache, které nejsou ovlivněny zranitelností Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper a CloudStack.
Uživatelům problematických balíčků se doporučuje urychleně nainstalovat vydané aktualizace pro ně samostatně aktualizujte verzi Log4j 2 nebo nastavte parametr Log4j2.formatMsgNoLookups na hodnotu true (například přidání klíče "-DLog4j2.formatMsgNoLookup = True" při spuštění).
Chcete-li uzamknout zranitelný systém, ke kterému není přímý přístup, bylo navrženo využít vakcínu Logout4Shell, která prostřednictvím spáchání útoku odhalí nastavení Java "log4j2.formatMsgNoLookups = true", "com.sun.jndi .rmi.objekt. trustURLCodebase = false "a" com.sun.jndi.cosnaming.object.trustURLCodebase = false "pro blokování dalších projevů zranitelnosti na nekontrolovaných systémech.