Viimastel päevadel netis on palju räägitud Log4 haavatavusestj, milles on avastatud erinevaid ründevektoreid ja haavatavuse ärakasutamiseks filtreeritud ka erinevaid funktsionaalseid ärakasutusi.
Asja tõsidus seisneb selles, et see on populaarne raamistik Java rakendustes registri korraldamiseks., mis võimaldab käivitada suvalise koodi, kui registrisse kirjutatakse spetsiaalselt vormindatud väärtus vormingus "{jndi: URL}". Rünnaku saab läbi viia Java-rakendustele, mis logivad välistest allikatest saadud väärtusi, kuvades näiteks probleemsete väärtuste veateadetes.
Ja see ründaja teeb sihtsüsteemis HTTP-päringu, mis loob Log4j 2 abil logi Mis kasutab JNDI-d ründaja juhitavale saidile päringu esitamiseks. Haavatavuse tõttu jõuab ära kasutatud protsess saidile ja täidab kasuliku koormuse. Paljude vaadeldud rünnakute puhul on ründajale kuuluv parameeter DNS-i registreerimissüsteem, mis on mõeldud saidil haavatavate süsteemide tuvastamise päringu registreerimiseks.
Nagu meie kolleeg Isaac juba rääkis:
See Log4j haavatavus võimaldab ära kasutada LDAP-i vale sisendi valideerimist, võimaldades koodi kaugkäivitamine (RCE) ja serveri ohustamine (konfidentsiaalsus, andmete terviklikkus ja süsteemi kättesaadavus). Lisaks seisneb selle haavatavuse probleem või tähtsus seda kasutavate rakenduste ja serverite arvus, sealhulgas äritarkvaras ja pilveteenustes, nagu Apple iCloud, Steam, või populaarsetes videomängudes, nagu Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash ja pikk jne.
Rääkides sellel teemal, hiljuti avaldas Apache Software Foundation läbi postitus kokkuvõte projektidest, mis käsitlevad Log4j 2 kriitilist haavatavust mis võimaldab serveris suvalise koodi käivitamist.
Mõjutatud on järgmised Apache projektid: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl ja Calcite Avatica. Haavatavus mõjutas ka GitHubi tooteid, sealhulgas GitHub.com, GitHub Enterprise Cloud ja GitHub Enterprise Server.
Viimastel päevadel on see märgatavalt kasvanud haavatavuse ärakasutamisega seotud tegevusest. Näiteks, Check Point logis oma fiktiivsetes serverites sisse umbes 100 ärakasutamiskatset minutis oma haripunkti ja Sophos teatas uue krüptoraha kaevandamise botneti avastamisest, mis moodustati Log4j 2 parandamata haavatavusega süsteemidest.
Mis puudutab probleemi kohta avaldatud teavet:
- Haavatavus on kinnitust leidnud paljudes ametlikes Dockeri piltides, sealhulgas diivanialus, elasticsearch, flink, solr, tormipildid jne.
- Haavatavus esineb MongoDB Atlas Searchi tootes.
- Probleem ilmneb paljudes Cisco toodetes, sealhulgas Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- Täiustatud veebiturbe aruandlus, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA keskus, Cisco. BroadWorks jne.
- Probleem esineb IBM WebSphere Application Serveris ja järgmistes Red Hati toodetes: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse ja AMQ Streams.
- Kinnitatud probleem Junos Space Network Management Platformis, Northstari kontrolleris / Planneris, Paragon Insightsis / Pathfinderis / Planneris.
- Mõjutatud on ka paljud Oracle'i, vmWare'i, Broadcomi ja Amazoni tooted.
Apache projektid, mida Log4j 2 haavatavus ei mõjuta: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper ja CloudStack.
Probleemsete pakettide kasutajatel soovitatakse välja antud värskendused kiiresti installida nende jaoks värskendage eraldi Log4j 2 versiooni või määrake parameetri Log4j2.formatMsgNoLookups väärtuseks true (näiteks lisades käivitamisel võtme "-DLog4j2.formatMsgNoLookup = True").
Süsteemi lukustamiseks haavatav, millele puudub otsene juurdepääs, soovitati kasutada vaktsiini Logout4Shell, mis rünnaku toimepanemisel paljastab Java sätte "log4j2.formatMsgNoLookups = true", "com.sun.jndi .rmi.objekt. trustURLCodebase = false "ja" com.sun.jndi.cosnaming.object.trustURLCodebase = false ", et blokeerida haavatavuse edasised ilmingud kontrollimatutes süsteemides.