Az utolsó napokban a neten sok szó esett a Log4 sebezhetőségérőlj, amelyben különféle támadási vektorokat fedeztek fel, és különféle funkcionális kihasználásokat is kiszűrtek a sérülékenység kihasználása érdekében.
A dolog komolysága az, hogy ez egy népszerű keretrendszer a Java alkalmazások rendszerleíró adatbázisának rendszerezésére., amely lehetővé teszi tetszőleges kód végrehajtását, amikor egy speciálisan formázott érték „{jndi: URL}” formátumban kerül a rendszerleíró adatbázisba. A támadás olyan Java-alkalmazásokon hajtható végre, amelyek naplózzák a külső forrásból származó értékeket, például a problémás értékek hibaüzenetekben való megjelenítésével.
És ez az a támadó HTTP kérést küld a célrendszeren, amely a Log4j 2 használatával naplót hoz létre Amely a JNDI-t használja arra, hogy kérést küldjön a támadó által vezérelt webhelynek. A biztonsági rés hatására a kihasznált folyamat megérkezik a webhelyre, és végrehajtja a hasznos terhelést. Számos megfigyelt támadásnál a támadóhoz tartozó paraméter egy DNS-regisztrációs rendszer, amelynek célja a webhelyen a sebezhető rendszerek azonosítására irányuló kérés regisztrálása.
Ahogy Isaac kollégánk már megosztotta:
A Log4j ezen biztonsági rése lehetővé teszi az LDAP hibás bemeneti ellenőrzésének kihasználását, távoli kódvégrehajtás (RCE), és veszélyezteti a szervert (bizalmasság, adatintegritás és a rendszer rendelkezésre állása). Ezenkívül a biztonsági rés problémája vagy jelentősége az azt használó alkalmazások és szerverek számában rejlik, beleértve az üzleti szoftvereket és a felhőszolgáltatásokat, mint például az Apple iCloud, a Steam, vagy a népszerű videojátékokat, mint például a Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash és egy hosszú stb.
A témáról szólva nemrég kiadta az Apache Software Foundation mediante egy bejegyzés a Log4j 2 kritikus biztonsági rését orvosló projektek összefoglalása amely lehetővé teszi tetszőleges kód futtatását a szerveren.
A következő Apache projektek érintettek: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl és Calcite Avatica. A sérülékenység a GitHub-termékeket is érintette, köztük a GitHub.com-ot, a GitHub Enterprise Cloud-ot és a GitHub Enterprise Server-t.
Az elmúlt napokban jelentős növekedés tapasztalható a sebezhetőség kihasználásával kapcsolatos tevékenységről. Például, A Check Point percenként körülbelül 100 kihasználási kísérletet regisztrált fiktív szerverein csúcspontját, a Sophos pedig bejelentette egy új kriptovaluta-bányász botnet felfedezését, amely a Log4j 2 javítatlan sérülékenységével rendelkező rendszerekből jött létre.
A problémával kapcsolatban kiadott információkkal kapcsolatban:
- A sebezhetőséget számos hivatalos Docker-kép megerősítette, beleértve a couchbase-t, az elaszticsearch-et, a flink-, a solr-, a viharképeket stb.
- A biztonsági rés a MongoDB Atlas Search termékében található.
- A probléma számos Cisco termékben jelentkezik, beleértve a Cisco Webex Meetings Servert, a Cisco CX Cloud Agentet, a Cisco-t.
- Fejlett webbiztonsági jelentéskészítés, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks stb.
- A probléma az IBM WebSphere Application Serverben és a következő Red Hat termékekben jelentkezik: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse és AMQ Streams.
- Megerősített probléma: Junos Space Network Management Platform, Northstar Controller/Planner, Paragon Insights/Pathfinder/Planner.
- Az Oracle, a vmWare, a Broadcom és az Amazon számos terméke is érintett.
Apache projektek, amelyeket nem érint a Log4j 2 biztonsági rése: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper és CloudStack.
A problémás csomagok felhasználóinak azt tanácsoljuk, hogy sürgősen telepítsék a kiadott frissítéseket számukra külön frissítse a Log4j 2 verzióját, vagy állítsa a Log4j2.formatMsgNoLookups paramétert true értékre (például indításkor adja hozzá a "-DLog4j2.formatMsgNoLookup = True" kulcsot).
A sebezhető rendszer zárolásához, amelyhez nincs közvetlen hozzáférés, javasolt a Logout4Shell vakcina kihasználása, amely egy támadás során felfedi a „log4j2.formatMsgNoLookups = true”, „com.sun.jndi” Java beállítást. .rmi.objektum. trustURLCodebase = false "és" com.sun.jndi.cosnaming.object.trustURLCodebase = false "a sebezhetőség további megnyilvánulásainak blokkolásához a nem ellenőrzött rendszereken.