A CISA igazgatója, Jen Easterly szerint a Log4j biztonsági hibája a legrosszabb, amit látott a hordozójában és a biztonsági szakembereknek szembe kell nézniük a következményekkel hibából sokáig.
Ha foltozatlan marad a fő biztonsági hiba, amelyet egy hónappal ezelőtt fedeztek fel a Java Apache Log4j naplózási könyvtárában kockázatot jelent az internet nagy szektorai számára, A hackerek a széles körben használt szoftverek sebezhetőségét kihasználva eltéríthetik a számítógépes szervereket, és a fogyasztói elektronikától a kormányzati és vállalati rendszerekig mindent kibertámadás veszélyének tehetnek ki.
December 9-én fedezték fel egy biztonsági rés az Apache log4j naplókönyvtárában. Ezt a könyvtárat széles körben használják Java / J2EE alkalmazásfejlesztési projektekben, valamint szabványos Java / J2EE alapú szoftvermegoldások szolgáltatóinál.
A Log4j tartalmaz egy keresési mechanizmust, amely lekérdezésre használható speciális szintaxison keresztül egy formátum karakterláncban. Alapértelmezés szerint minden kérés a java előtaggal történik: comp / env / *; Mindazonáltal, a szerzők megvalósították az egyéni előtag használatának lehetőségét kettőspont szimbólum használatával a kulcsban. Itt rejlik a sebezhetőség: ha a jndi: ldap: // kulcsot használunk, akkor a kérés a megadott LDAP-kiszolgálóhoz érkezik. Más kommunikációs protokollok, például LDAPS, DNS és RMI is használhatók.
Ezért, a támadó által vezérelt távoli szerver visszaküldhet egy objektumot egy sebezhető szervernek, ami önkényes kódvégrehajtáshoz vagy bizalmas adatok kiszivárgásához vezethet a rendszeren. A támadónak mindössze egy speciális karakterláncot kell küldenie azon a mechanizmuson keresztül, amely ezt a karakterláncot egy naplófájlba írja, és ezért a Log4j könyvtár kezeli.
Ez megtehető egyszerű HTTP kérésekkel, például webes űrlapokon, adatmezőkön stb. keresztül küldött kérésekkel, vagy bármilyen más típusú interakcióval a szerveroldali regisztrációs adatbázis használatával.
- A 2.15.0-s verzió nem oldott meg egy másik problémát, a CVE-2021-45046-ot, amely lehetővé tette egy távoli támadó számára, hogy irányítsa a Thread Context Map (MDC) eszközt, hogy egy JNDI keresési mintával rosszindulatú bejegyzést készítsen elő. Az eredmény távoli kódvégrehajtás lehet, szerencsére nem minden környezetben.
- A 2.16.0-s verzió javította ezt a problémát. De nem javította ki a CVE-2021-45105-öt, amelyet az Apache Software Foundation a következőképpen ír le:
„Az Apache Log2.0j1 2.16.0-alpha4 és 2 közötti verziói nem nyújtottak védelmet az önhivatkozási keresések ellenőrizetlen ismétlődése ellen. Ha a beállításjegyzék konfigurációja az alapértelmezetttől eltérő sablonelrendezést használ a kontextuskereséssel (például $$ {ctx: loginId}), a Thread Context Map (MDC) bemeneti adatait vezérlő támadók bejelentkezési adatokat hozhatnak létre. Rekurzív keresést tartalmazó rosszindulatú bejegyzés . , amely egy StackOverflowError hibát generál, amely leállítja a folyamatot. Ezt szolgáltatásmegtagadási (DOS) támadásnak is nevezik.
A gyártótól független hibajavító program, a Zero Day Initiative a következőképpen írta le a hibát:
„Ha egy beágyazott változót a StrSubstitutor osztály helyettesít, akkor rekurzív módon meghívja a helyettesítési osztályt (). Ha azonban a beágyazott változó a cserélendő változóra hivatkozik, a rekurziót ugyanazzal a karakterlánccal hívják meg. Ez végtelen rekurzióhoz és DoS-feltételhez vezet a szerveren.
Egy másik kritikus távoli kódvégrehajtási hiba, amely immár a következő néven van nyomon követve A CVE-2021-44832 kódot ugyanabban az Apache Log4j naplókönyvtárban fedezték fel. Ez a Log4j könyvtár negyedik biztonsági rése.
A CVSS-skálán 6,6-os pontszámmal "közepes" besorolású biztonsági rés a JDNI-hozzáférés további vezérlésének hiányából fakad a log4j-ben.
Az Apache biztonsági csapata kiadta az Apache Log4J újabb verzióját (2.17.1-es verzió), amely kijavítja a nemrég felfedezett távoli kódvégrehajtási hibát, a CVE-2021-44832. Ez egy másik rossz helyzet a legtöbb felhasználó számára, de ismét erősen ajánlott frissíteni a rendszert a kritikus probléma megoldása érdekében.
Egyetlen amerikai szövetségi ügynökség sem került veszélybe a sebezhetőség miatt – mondta Jen Easterly újságíróknak egy felhívásban. Ezenkívül az Egyesült Államokban nem jelentettek a hibával kapcsolatos jelentősebb kibertámadásokat, bár sok támadásról nem számolnak be, mondta.
Easterly elmondta a sebezhetőség mértékét, az internethez csatlakoztatott eszközök tízmillióit érinti, ez a legrosszabb, amit pályafutása során látott. A támadók elhúzhatják az idejüket – mondta –, arra várva, hogy a vállalatok és mások csökkentsék védelmüket, mielőtt támadnának.
"Reméljük, hogy a Log4Shellt a jövőben behatolásokra fogják használni" - mondta Easterly. Megjegyezte, hogy az Equifax 2017-es adatszivárgása, amely közel 150 millió amerikai személyes adatait veszélyeztette, a nyílt forráskódú szoftverek sérülékenysége miatt következett be.
Eddig a legtöbb próbálkozás a hiba kihasználására az alacsony szintű kriptovaluta bányászatra vagy az eszközök botnetekbe csábítására irányult, mondta.
forrás: https://www.cnet.com
Ez a túltervezés miatt van. Minden komponensnek csak egy dolgot kell tennie, és azt jól kell csinálnia. De a fejlesztőknek megvan az a rossz szokásuk, hogy rétegeket, több réteget és szükségtelen funkciókat helyeznek el, ami nem teszi bonyolultabbá és nem hajlamosabbá az ilyen típusú meghibásodásokra... Mondtam...