בימים האחרונים ברשת דובר רבות על הפגיעות של Log4j שבו התגלו וקטורי תקיפה שונים וגם סוננו ניצולים פונקציונליים שונים על מנת לנצל את הפגיעות.
חומרת העניין היא שמדובר במסגרת פופולרית לארגון הרישום באפליקציות Java., המאפשר להפעיל קוד שרירותי כאשר ערך בפורמט מיוחד נכתב לרישום בפורמט "{jndi: URL}". ההתקפה יכולה להתבצע על יישומי Java שמתעדים ערכים שהושגו ממקורות חיצוניים, למשל על ידי הצגת ערכים בעייתיים בהודעות שגיאה.
וזה תוקף מבצע בקשת HTTP על מערכת יעד, אשר מייצרת יומן באמצעות Log4j 2 אשר משתמש ב-JNDI כדי לשלוח בקשה לאתר הנשלט על ידי התוקף. לאחר מכן, הפגיעות גורמת לתהליך המנוצל להגיע לאתר ולבצע את המטען. בהתקפות שנצפו רבות, הפרמטר ששייך לתוקף הוא מערכת רישום DNS, שנועדה לרשום בקשה באתר לזיהוי מערכות פגיעות.
כפי שכבר שיתף עמיתנו אייזיק:
פגיעות זו של Log4j מאפשרת לנצל אימות קלט שגוי ל-LDAP, מה שמאפשר ביצוע קוד מרחוק (RCE), ופגיעה בשרת (סודיות, שלמות הנתונים וזמינות המערכת). בנוסף, הבעיה או החשיבות של פגיעות זו נעוצה במספר האפליקציות והשרתים שמשתמשים בה, לרבות תוכנות עסקיות ושירותי ענן כגון Apple iCloud, Steam, או משחקי וידאו פופולריים כגון Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash, ו-long וכו'.
מדבר על העניין, לאחרונה קרן תוכנת Apache שוחררה דרך פוסט סיכום של פרויקטים המטפלים בפגיעות קריטית ב-Log4j 2 מה שמאפשר לרוץ קוד שרירותי על השרת.
הפרויקטים הבאים של Apache מושפעים: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl ו-Calcite Avatica. הפגיעות השפיעה גם על מוצרי GitHub, כולל GitHub.com, GitHub Enterprise Cloud ו-GitHub Enterprise Server.
בימים האחרונים חלה עלייה משמעותית של הפעילות הקשורה לניצול הפגיעות. לדוגמה, צ'ק פוינט רשמה כ-100 ניסיונות ניצול לדקה בשרתים הפיקטיביים שלה השיא שלו, ו-Sophos הכריזה על גילוי בוטנט חדש לכריית מטבעות קריפטוגרפיים, שנוצרה ממערכות עם פגיעות לא מעודכנת ב-Log4j 2.
לגבי המידע שפורסם לגבי הבעיה:
- הפגיעות אושרה בתמונות רשמיות רבות של Docker, כולל couchbase, elasticsearch, flink, solr, תמונות סערה וכו'.
- הפגיעות קיימת במוצר MongoDB Atlas Search.
- הבעיה מופיעה במגוון מוצרי Cisco, כולל Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- דיווח אבטחת אינטרנט מתקדם, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks וכו'.
- הבעיה קיימת ב-IBM WebSphere Application Server ובמוצרי Red Hat הבאים: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse ו-AMQ Streams.
- בעיה מאושרת בפלטפורמת ניהול רשתות החלל של Junos, Northstar Controller / Planner, Paragon Insights / Pathfinder / Planner.
- מוצרים רבים מ-Oracle, vmWare, Broadcom ואמזון מושפעים אף הם.
פרויקטים של Apache שאינם מושפעים מהפגיעות של Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper ו-CloudStack.
למשתמשים בחבילות בעייתיות מומלץ להתקין בדחיפות את העדכונים שפורסמו עבורם, עדכן בנפרד את הגרסה של Log4j 2 או הגדר את הפרמטר Log4j2.formatMsgNoLookups ל-true (לדוגמה, הוספת המפתח "-DLog4j2.formatMsgNoLookup = True" בעת ההפעלה).
כדי לנעול את המערכת פגיעה שאין אליה גישה ישירה, הוצע לנצל את החיסון Logout4Shell, אשר, באמצעות ביצוע תקיפה, חושף את הגדרת Java "log4j2.formatMsgNoLookups = true", "com.sun.jndi .rmi.object. trustURLCodebase = false "and" com.sun.jndi.cosnaming.object.trustURLCodebase = false "כדי לחסום ביטויים נוספים של הפגיעות במערכות לא מבוקרות.