終わりの日の間 ネット上では、Log4の脆弱性について多くの話題がありましたj脆弱性を悪用するために、さまざまな攻撃ベクトルが発見され、さまざまな機能的悪用もフィルタリングされています。
問題の深刻さは、これがJavaアプリケーションでレジストリを編成するための一般的なフレームワークであるということです。、特別にフォーマットされた値が「{jndi:URL}」のフォーマットでレジストリに書き込まれるときに、任意のコードを実行できるようにします。 攻撃は、たとえばエラーメッセージに問題のある値を表示することにより、外部ソースから取得した値をログに記録するJavaアプリケーションで実行される可能性があります。
そして、それ 攻撃者がターゲットシステムでHTTPリクエストを行い、Log4j2を使用してログを生成します これは、JNDIを使用して、攻撃者が制御するサイトにリクエストを送信します。 この脆弱性により、悪用されたプロセスがサイトに到着し、ペイロードを実行します。 観察された多くの攻撃では、攻撃者に属するパラメータはDNS登録システムであり、脆弱なシステムを識別するためにサイトにリクエストを登録することを目的としています。
同僚のIsaacがすでに共有しているように:
Log4jのこの脆弱性により、LDAPへの誤った入力検証を悪用して、 リモートコード実行 (RCE)、およびサーバーの侵害(機密性、データの整合性、およびシステムの可用性)。 さらに、この脆弱性の問題または重要性は、Apple iCloud、Steamなどのビジネスソフトウェアやクラウドサービス、またはMinecraft:Java Edition、Twitter、Cloudflareなどの人気のあるビデオゲームを含む、この脆弱性を使用するアプリケーションとサーバーの数にあります。 Tencent、ElasticSearch、Redis、Elastic Logstash、およびlongなど。
この件について言えば、最近 Apache SoftwareFoundationがリリースされました 介して ポスト Log4j2の重大な脆弱性に対処するプロジェクトの概要 これにより、サーバー上で任意のコードを実行できます。
次のApacheプロジェクトが影響を受けます:Archiva、Druid、EventMesh、Flink、Fortress、Geode、Hive、JMeter、Jena、JSPWiki、OFBiz、Ozone、SkyWalking、Solr、Struts、TrafficControl、およびCalciteAvatica。 この脆弱性は、GitHub.com、GitHub Enterprise Cloud、GitHub EnterpriseServerなどのGitHub製品にも影響を及ぼしました。
最近では大幅な増加が見られます 脆弱性の悪用に関連する活動の例えば、 Check Pointは、架空のサーバーで100分あたり約XNUMX回のエクスプロイト試行を記録しました。 そのピークであり、Sophosは、Log4j2にパッチが適用されていない脆弱性を持つシステムから形成された新しい暗号通貨マイニングボットネットの発見を発表しました。
問題に関して公開された情報について:
- この脆弱性は、couchbase、elasticsearch、flink、solr、stormイメージなど、多くの公式Dockerイメージで確認されています。
- この脆弱性は、MongoDB AtlasSearch製品に存在します。
- この問題は、Cisco Webex Meetings Server、Cisco CX Cloud Agent、Ciscoなどのさまざまなシスコ製品で発生します。
- Advanced Web Security Reporting、Cisco Firepower Threat Defense(FTD)、Cisco Identity Services Engine(ISE)、Cisco CloudCenter、Cisco DNA Center、Cisco。 BroadWorksなど。
- この問題は、IBM WebSphere ApplicationServerおよび次のRedHat製品に存在します:OpenShift、OpenShift Logging、OpenStack Platform、Integration Camel、CodeReady Studio、Data Grid、Fuse、およびAMQStreams。
- Junos Space Network Management Platform、Northstar Controller / Planner、Paragon Insights / Pathfinder / Plannerで確認された問題。
- Oracle、vmWare、Broadcom、Amazonの多くの製品も影響を受けます。
Log4j 2の脆弱性の影響を受けないApacheプロジェクト:Apache Iceberg、Guacamole、Hadoop、Log4Net、Spark、Tomcat、ZooKeeper、CloudStack。
問題のあるパッケージのユーザーは、リリースされたアップデートを緊急にインストールすることをお勧めします それらの場合は、Log4j 2のバージョンを個別に更新するか、パラメーターLog4j2.formatMsgNoLookupsをtrueに設定します(たとえば、起動時にキー「-DLog4j2.formatMsgNoLookup = True」を追加します)。
システムをロックするために、直接アクセスできない脆弱性があるため、Logout4Shellワクチンを悪用することが提案されました。これは、攻撃の委託により、Java設定「log4j2.formatMsgNoLookups = true」、「com.sun.jndi」を公開します。 .rmi.object。 trustURLCodebase = false "および" com.sun.jndi.cosnaming.object.trustURLCodebase = false "は、制御されていないシステムでの脆弱性のさらなる兆候をブロックします。