CISA:n johtaja, Jen Easterly sanoo, että Log4j:n tietoturvavirhe on pahin, jonka hän on nähnyt hänen kuljettajassaan ja turvallisuusalan ammattilaiset kohtaavat seuraukset virheestä pitkään.
Jos jätetään korjaamatta tärkein tietoturvavirhe, joka löydettiin kuukausi sitten Java Apache Log4j -lokikirjastosta aiheuttaa riskejä suurille Internetin sektoreille, hakkerit voivat hyödyntää laajalti käytettyjen ohjelmistojen haavoittuvuutta kaapatakseen tietokonepalvelimia, mikä saattaa kaiken kulutuselektroniikasta valtion ja yritysten järjestelmiin kyberhyökkäyksen vaaraan.
Se löydettiin 9. joulukuuta haavoittuvuus Apache log4j -lokikirjastossa. Tätä kirjastoa käytetään laajasti Java / J2EE-sovelluskehitysprojekteissa sekä standardi Java / J2EE-pohjaisten ohjelmistoratkaisujen tarjoajien toimesta.
Log4j sisältää hakumekanismin, jota voidaan käyttää kyselyyn erityisellä syntaksilla muotomerkkijonossa. Oletuksena kaikki pyynnöt tehdään etuliitteellä java: comp / env / *; mutta kaikesta huolimatta, kirjoittajat ottivat käyttöön mahdollisuuden käyttää mukautettua etuliitettä käyttämällä kaksoispistesymbolia nuottiavaimessa. Tässä haavoittuvuus piilee: jos avaimena käytetään jndi: ldap: //, pyyntö menee määritettyyn LDAP-palvelimeen. Voidaan käyttää myös muita viestintäprotokollia, kuten LDAPS, DNS ja RMI.
Näin ollen, hyökkääjän hallitsema etäpalvelin voi palauttaa kohteen haavoittuvaiselle palvelimelle, mikä voi johtaa mielivaltaiseen koodin suorittamiseen järjestelmässä tai luottamuksellisten tietojen vuotamiseen. Hyökkääjän tarvitsee vain lähettää erityinen merkkijono mekanismin kautta, joka kirjoittaa tämän merkkijonon lokitiedostoon ja jota siksi hallitsee Log4j-kirjasto.
Tämä voidaan tehdä yksinkertaisilla HTTP-pyynnöillä, esimerkiksi verkkolomakkeiden, tietokenttien jne. kautta lähetetyillä, tai millä tahansa muulla palvelinpuolen rekisterin avulla tapahtuvalla vuorovaikutuksella.
- Versio 2.15.0 ei ratkaissut toista ongelmaa, CVE-2021-45046, jonka avulla etähyökkääjä pystyi ohjaamaan säiettä kontekstikartta (MDC) valmistelemaan haitallista merkintää JNDI-hakumallin avulla. Tuloksena voi olla koodin etäsuoritus, onneksi ei kaikissa ympäristöissä.
- Versio 2.16.0 korjasi tämän ongelman. Mutta se ei korjannut CVE-2021-45105:tä, jota Apache Software Foundation kuvailee seuraavasti:
"Apache Log2.0j1 -versiot 2.16.0-alpha4 - 2 eivät suojaaneet itseviittaushakujen hallitsemattomalta toistumiselta. Kun rekisterimääritykset käyttävät kontekstihaussa eri malliasettelua kuin oletusarvo (esimerkiksi $$ {ctx: loginId}), Thread Context Map (MDC) -syöttötietoja hallitsevat hyökkääjät voivat luoda kirjautumistietoja. Haitallinen merkintä, joka sisältää rekursiivisen haun . , joka luo StackOverflowError-virheen, joka päättää prosessin. Tämä tunnetaan myös palvelunestohyökkäyksenä (DOS).
Toimittajasta riippumaton bugipalkkioohjelma, Zero Day Initiative, kuvaili virhettä seuraavasti:
"Kun sisäkkäinen muuttuja korvataan StrSubstitutor-luokalla, se kutsuu rekursiivisesti korvausluokkaa (). Kuitenkin, kun sisäkkäinen muuttuja viittaa korvattavaan muuttujaan, rekursiota kutsutaan samalla merkkijonolla. Tämä johtaa äärettömään rekursioon ja DoS-ehtoon palvelimella.
Toinen kriittinen koodin etäsuoritusvirhe, jota nyt seurataan nimellä CVE-2021-44832 löydettiin samasta Apache Log4j -lokikirjastosta. Tämä on Log4j-kirjaston neljäs haavoittuvuus.
Vakavuusasteeltaan "kohtalainen" ja CVSS-asteikon pistemäärä 6,6, haavoittuvuus johtuu siitä, että log4j:ssä ei ole lisähallintaa JDNI-käytölle.
Apache-tietoturvatiimi julkaisi toisen version Apache Log4J:stä (versio 2.17.1), joka korjaa äskettäin löydetyn koodin etäsuoritusvirheen CVE-2021-44832. Tämä on toinen huono tilanne useimmille käyttäjille, mutta jälleen kerran on erittäin suositeltavaa päivittää järjestelmäsi tämän kriittisen ongelman korjaamiseksi.
Yhtään Yhdysvaltain liittovaltion virastoa ei ole vaarantunut haavoittuvuuden vuoksi, Jen Easterly kertoi toimittajille puhelussa. Lisäksi Yhdysvalloissa ei ole raportoitu suuria bugiin liittyviä kyberhyökkäyksiä, vaikka monet hyökkäykset jäävät ilmoittamatta, hän sanoi.
Easterly sanoi haavoittuvuuden laajuuden, vaikuttaa kymmeniin miljooniin Internetiin kytkettyihin laitteisiin, tekee siitä pahimman, mitä hän on koskaan nähnyt urallaan. Hyökkääjät saattavat käyttää aikansa, hän sanoi odottaen yritysten ja muiden alentavan puolustustaan ennen hyökkäämistä.
"Toivomme, että Log4Shellia käytetään tunkeutumiseen tulevaisuudessa", Easterly sanoi. Hän huomautti, että vuonna 2017 tapahtunut Equifax-tietomurto, joka vaaransi lähes 150 miljoonan amerikkalaisen henkilötiedot, johtui avoimen lähdekoodin ohjelmistojen haavoittuvuudesta.
Toistaiseksi useimmat yritykset hyödyntää vikaa ovat keskittyneet matalan tason kryptovaluuttojen louhintaan tai yrityksiin houkutella laitteita botnet-verkkoihin, hän sanoi.
lähde: https://www.cnet.com
Se johtuu liiallisesta suunnittelusta. Jokaisen komponentin tulee tehdä vain yksi asia ja tehdä se hyvin. Mutta kehittäjillä on huono tapa sijoittaa kerroksia ja lisää kerroksia ja tarpeettomia toimintoja, jotka eivät tee siitä monimutkaisempaa ja alttiita tämän tyyppisille epäonnistumisille .. Sanoin ..