Viimeisten päivien aikana netissä on puhuttu paljon Log4:n haavoittuvuudestaj, jossa on löydetty erilaisia hyökkäysvektoreita ja erilaisia toiminnallisia hyväksikäyttöjä on myös suodatettu haavoittuvuuden hyödyntämiseksi.
Asian vakavuus on, että tämä on suosittu kehys Java-sovellusten rekisterin järjestämiseen., joka sallii mielivaltaisen koodin suorittamisen, kun rekisteriin kirjoitetaan erityisesti muotoiltu arvo muodossa "{jndi: URL}". Hyökkäys voidaan suorittaa Java-sovelluksiin, jotka kirjaavat ulkoisista lähteistä saatuja arvoja, esimerkiksi näyttämällä ongelmallisia arvoja virheilmoituksissa.
Ja se Hyökkääjä tekee HTTP-pyynnön kohdejärjestelmässä, joka luo lokin Log4j 2:lla Joka käyttää JNDI:tä pyynnön tekemiseen hyökkääjän hallitsemalle sivustolle. Haavoittuvuus saa sitten hyödynnetyn prosessin saapumaan sivustolle ja suorittamaan hyötykuorman. Monissa havaituissa hyökkäyksissä hyökkääjälle kuuluva parametri on DNS-rekisteröintijärjestelmä, jonka tarkoituksena on rekisteröidä sivustolle pyyntö haavoittuvien järjestelmien tunnistamiseksi.
Kuten kollegamme Isaac jo kertoi:
Tämä Log4j:n haavoittuvuus sallii LDAP:n virheellisen syötteen validoinnin hyödyntämisen, mikä mahdollistaa koodin etäsuoritus (RCE) ja palvelimen vaarantaminen (luottamuksellisuus, tietojen eheys ja järjestelmän saatavuus). Lisäksi tämän haavoittuvuuden ongelma tai merkitys piilee sitä käyttävien sovellusten ja palvelimien määrässä, mukaan lukien yritysohjelmistot ja pilvipalvelut, kuten Apple iCloud, Steam, tai suositut videopelit, kuten Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash ja pitkä jne.
Puhuessani aiheesta, äskettäin Apache Software Foundation julkaisi kautta viesti yhteenveto projekteista, jotka korjaavat Log4j 2:n kriittisen haavoittuvuuden joka sallii mielivaltaisen koodin suorittamisen palvelimella.
Tämä vaikuttaa seuraaviin Apache-projekteihin: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl ja Calcite Avatica. Haavoittuvuus vaikutti myös GitHub-tuotteisiin, mukaan lukien GitHub.com, GitHub Enterprise Cloud ja GitHub Enterprise Server.
Viime päivinä se on lisääntynyt merkittävästi haavoittuvuuden hyödyntämiseen liittyvästä toiminnasta. Esimerkiksi, Check Point kirjasi noin 100 hyväksikäyttöyritystä minuutissa kuvitteellisille palvelimilleen huippunsa, ja Sophos ilmoitti löytäneensä uuden kryptovaluutan louhintabottiverkon, joka on muodostettu Log4j 2:n korjaamattoman haavoittuvuuden sisältävistä järjestelmistä.
Mitä tulee ongelmasta julkaistuihin tietoihin:
- Haavoittuvuus on vahvistettu monissa virallisissa Docker-kuvissa, mukaan lukien couchbase, elasticsearch, flink, solr, myrskykuvat jne.
- Haavoittuvuus on MongoDB Atlas Search -tuotteessa.
- Ongelma ilmenee useissa Ciscon tuotteissa, mukaan lukien Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- Advanced Web Security Reporting, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks jne.
- Ongelma esiintyy IBM WebSphere Application Serverissä ja seuraavissa Red Hat -tuotteissa: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse ja AMQ Streams.
- Vahvistettu ongelma Junos Space Network Management Platformissa, Northstar Controller / Planner, Paragon Insights / Pathfinder / Planner.
- Tämä vaikuttaa myös moniin Oraclen, vmWaren, Broadcomin ja Amazonin tuotteisiin.
Apache-projektit, joihin Log4j 2 -haavoittuvuus ei vaikuta: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper ja CloudStack.
Ongelmallisten pakettien käyttäjiä kehotetaan asentamaan julkaistut päivitykset kiireellisesti päivitä heille erikseen Log4j 2 -versio tai aseta parametrin Log4j2.formatMsgNoLookups arvoksi tosi (esimerkiksi lisäämällä avaimen "-DLog4j2.formatMsgNoLookup = True" käynnistyksen yhteydessä).
Haavoittuvan järjestelmän lukitsemiseksi, johon ei ole suoraa pääsyä, ehdotettiin Logout4Shell-rokotteen hyödyntämistä, joka hyökkäyksen kautta paljastaa Java-asetuksen "log4j2.formatMsgNoLookups = true", "com.sun.jndi .rmi.objekti. trustURLCodebase = false "ja" com.sun.jndi.cosnaming.object.trustURLCodebase = false "estääksesi haavoittuvuuden lisää ilmentymiä hallitsemattomissa järjestelmissä.