ಸುಮಾರು 17 ಅಪಾಚೆ ಯೋಜನೆಗಳು Log4j 2 ದುರ್ಬಲತೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿವೆ

Darkcrizt

4 ನಿಮಿಷಗಳು

log4j

ಕೊನೆಯ ದಿನಗಳಲ್ಲಿ ನೆಟ್‌ನಲ್ಲಿ Log4 ನ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಸಾಕಷ್ಟು ಚರ್ಚೆಗಳು ನಡೆದಿವೆj ಇದರಲ್ಲಿ ವಿವಿಧ ದಾಳಿ ವಾಹಕಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲಾಗಿದೆ ಮತ್ತು ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಸಲುವಾಗಿ ವಿವಿಧ ಕ್ರಿಯಾತ್ಮಕ ಶೋಷಣೆಗಳನ್ನು ಸಹ ಫಿಲ್ಟರ್ ಮಾಡಲಾಗಿದೆ.

ವಿಷಯದ ಗಂಭೀರತೆಯೆಂದರೆ ಇದು ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ನೋಂದಾವಣೆ ಸಂಘಟಿಸಲು ಜನಪ್ರಿಯ ಚೌಕಟ್ಟಾಗಿದೆ., ಇದು "{jndi: URL}" ಫಾರ್ಮ್ಯಾಟ್‌ನಲ್ಲಿ ನೋಂದಾವಣೆಗೆ ವಿಶೇಷವಾಗಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ ಮೌಲ್ಯವನ್ನು ಬರೆದಾಗ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಬಾಹ್ಯ ಮೂಲಗಳಿಂದ ಪಡೆದ ಮೌಲ್ಯಗಳನ್ನು ಲಾಗ್ ಮಾಡುವ ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಮೇಲೆ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು, ಉದಾಹರಣೆಗೆ ದೋಷ ಸಂದೇಶಗಳಲ್ಲಿ ಸಮಸ್ಯಾತ್ಮಕ ಮೌಲ್ಯಗಳನ್ನು ಪ್ರದರ್ಶಿಸುವ ಮೂಲಕ.

ಮತ್ತು ಅದು ಆಕ್ರಮಣಕಾರನು ಗುರಿ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ HTTP ವಿನಂತಿಯನ್ನು ಮಾಡುತ್ತಾನೆ, ಅದು Log4j 2 ಅನ್ನು ಬಳಸಿಕೊಂಡು ಲಾಗ್ ಅನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ ದಾಳಿಕೋರ-ನಿಯಂತ್ರಿತ ಸೈಟ್‌ಗೆ ವಿನಂತಿಯನ್ನು ಮಾಡಲು JNDI ಅನ್ನು ಇದು ಬಳಸುತ್ತದೆ. ದುರ್ಬಲತೆಯು ನಂತರ ಶೋಷಿತ ಪ್ರಕ್ರಿಯೆಯು ಸೈಟ್‌ಗೆ ಆಗಮಿಸಲು ಮತ್ತು ಪೇಲೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕಾರಣವಾಗುತ್ತದೆ. ಅನೇಕ ಗಮನಿಸಿದ ದಾಳಿಗಳಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರಿಗೆ ಸೇರಿದ ನಿಯತಾಂಕವು DNS ನೋಂದಣಿ ವ್ಯವಸ್ಥೆಯಾಗಿದೆ, ದುರ್ಬಲ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಗುರುತಿಸಲು ಸೈಟ್‌ನಲ್ಲಿ ವಿನಂತಿಯನ್ನು ನೋಂದಾಯಿಸಲು ಉದ್ದೇಶಿಸಲಾಗಿದೆ.

ನಮ್ಮ ಸಹೋದ್ಯೋಗಿ ಐಸಾಕ್ ಈಗಾಗಲೇ ಹಂಚಿಕೊಂಡಿರುವಂತೆ:

Log4j ನ ಈ ದುರ್ಬಲತೆಯು LDAP ಗೆ ತಪ್ಪಾದ ಇನ್‌ಪುಟ್ ಮೌಲ್ಯೀಕರಣವನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ (RCE), ಮತ್ತು ಸರ್ವರ್‌ಗೆ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳುವುದು (ಗೌಪ್ಯತೆ, ಡೇಟಾ ಸಮಗ್ರತೆ ಮತ್ತು ಸಿಸ್ಟಮ್ ಲಭ್ಯತೆ). ಹೆಚ್ಚುವರಿಯಾಗಿ, ಈ ದುರ್ಬಲತೆಯ ಸಮಸ್ಯೆ ಅಥವಾ ಪ್ರಾಮುಖ್ಯತೆಯು ವ್ಯಾಪಾರ ಸಾಫ್ಟ್‌ವೇರ್ ಮತ್ತು ಕ್ಲೌಡ್ ಸೇವೆಗಳಾದ Apple iCloud, Steam ಅಥವಾ Minecraft ನಂತಹ ಜನಪ್ರಿಯ ವೀಡಿಯೊ ಆಟಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಅದನ್ನು ಬಳಸುವ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮತ್ತು ಸರ್ವರ್‌ಗಳ ಸಂಖ್ಯೆಯಲ್ಲಿದೆ: Java Edition, Twitter, Cloudflare, ಟೆನ್ಸೆಂಟ್, ಎಲಾಸ್ಟಿಕ್ ಸರ್ಚ್, ರೆಡಿಸ್, ಎಲಾಸ್ಟಿಕ್ ಲಾಗ್‌ಸ್ಟ್ಯಾಶ್, ಮತ್ತು ಲಾಂಗ್ ಇತ್ಯಾದಿ.

ಈ ವಿಷಯದ ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತಾ, ಇತ್ತೀಚೆಗೆ ಅಪಾಚೆ ಸಾಫ್ಟ್‌ವೇರ್ ಫೌಂಡೇಶನ್ ಬಿಡುಗಡೆ ಮಾಡಿದೆ ಮೂಲಕ ಒಂದು ಪೋಸ್ಟ್ Log4j 2 ರಲ್ಲಿನ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು ತಿಳಿಸುವ ಯೋಜನೆಗಳ ಸಾರಾಂಶ ಇದು ಸರ್ವರ್‌ನಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.

ಕೆಳಗಿನ Apache ಯೋಜನೆಗಳು ಪರಿಣಾಮ ಬೀರುತ್ತವೆ: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl, ಮತ್ತು Calcite Avatica. ದುರ್ಬಲತೆಯು GitHub.com, GitHub ಎಂಟರ್‌ಪ್ರೈಸ್ ಕ್ಲೌಡ್ ಮತ್ತು GitHub ಎಂಟರ್‌ಪ್ರೈಸ್ ಸರ್ವರ್ ಸೇರಿದಂತೆ GitHub ಉತ್ಪನ್ನಗಳ ಮೇಲೂ ಪರಿಣಾಮ ಬೀರಿತು.

ಇತ್ತೀಚಿನ ದಿನಗಳಲ್ಲಿ ಗಮನಾರ್ಹ ಏರಿಕೆ ಕಂಡುಬಂದಿದೆ ದುರ್ಬಲತೆಯ ಶೋಷಣೆಗೆ ಸಂಬಂಧಿಸಿದ ಚಟುವಟಿಕೆಯ. ಉದಾಹರಣೆಗೆ, ಚೆಕ್ ಪಾಯಿಂಟ್ ತನ್ನ ಕಾಲ್ಪನಿಕ ಸರ್ವರ್‌ಗಳಲ್ಲಿ ನಿಮಿಷಕ್ಕೆ ಸುಮಾರು 100 ಶೋಷಣೆಯ ಪ್ರಯತ್ನಗಳನ್ನು ಲಾಗ್ ಮಾಡಿದೆ ಅದರ ಉತ್ತುಂಗದಲ್ಲಿದೆ, ಮತ್ತು Sophos ಹೊಸ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ಮೈನಿಂಗ್ ಬೋಟ್ನೆಟ್ನ ಆವಿಷ್ಕಾರವನ್ನು ಘೋಷಿಸಿತು, ಇದು Log4j 2 ನಲ್ಲಿ ಅನ್ಪ್ಯಾಚ್ ಮಾಡದ ದುರ್ಬಲತೆಯನ್ನು ಹೊಂದಿರುವ ವ್ಯವಸ್ಥೆಗಳಿಂದ ರೂಪುಗೊಂಡಿತು.

ಸಮಸ್ಯೆಯ ಕುರಿತು ಬಿಡುಗಡೆಯಾದ ಮಾಹಿತಿಗೆ ಸಂಬಂಧಿಸಿದಂತೆ:

  • ಕೌಚ್ಬೇಸ್, ಎಲಾಸ್ಟಿಕ್ ಸರ್ಚ್, ಫ್ಲಿಂಕ್, ಸೋಲರ್, ಚಂಡಮಾರುತದ ಚಿತ್ರಗಳು ಇತ್ಯಾದಿ ಸೇರಿದಂತೆ ಹಲವು ಅಧಿಕೃತ ಡಾಕರ್ ಚಿತ್ರಗಳಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ದೃಢಪಡಿಸಲಾಗಿದೆ.
  • ಮೊಂಗೋಡಿಬಿ ಅಟ್ಲಾಸ್ ಹುಡುಕಾಟ ಉತ್ಪನ್ನದಲ್ಲಿ ದುರ್ಬಲತೆ ಇರುತ್ತದೆ.
  • Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco ಸೇರಿದಂತೆ ವಿವಿಧ ಸಿಸ್ಕೊ ​​ಉತ್ಪನ್ನಗಳಲ್ಲಿ ಸಮಸ್ಯೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ
  • ಸುಧಾರಿತ ವೆಬ್ ಸೆಕ್ಯುರಿಟಿ ರಿಪೋರ್ಟಿಂಗ್, ಸಿಸ್ಕೋ ಫೈರ್‌ಪವರ್ ಥ್ರೆಟ್ ಡಿಫೆನ್ಸ್ (ಎಫ್‌ಟಿಡಿ), ಸಿಸ್ಕೋ ಐಡೆಂಟಿಟಿ ಸರ್ವಿಸಸ್ ಎಂಜಿನ್ (ಐಎಸ್‌ಇ), ಸಿಸ್ಕೋ ಕ್ಲೌಡ್ ಸೆಂಟರ್, ಸಿಸ್ಕೋ ಡಿಎನ್‌ಎ ಸೆಂಟರ್, ಸಿಸ್ಕೋ. ಬ್ರಾಡ್ವರ್ಕ್ಸ್, ಇತ್ಯಾದಿ.
  • ಸಮಸ್ಯೆಯು IBM ವೆಬ್‌ಸ್ಪಿಯರ್ ಅಪ್ಲಿಕೇಶನ್ ಸರ್ವರ್‌ನಲ್ಲಿ ಮತ್ತು ಕೆಳಗಿನ Red Hat ಉತ್ಪನ್ನಗಳಲ್ಲಿದೆ: OpenShift, OpenShift ಲಾಗಿಂಗ್, OpenStack ಪ್ಲಾಟ್‌ಫಾರ್ಮ್, ಇಂಟಿಗ್ರೇಷನ್ ಕ್ಯಾಮೆಲ್, CodeReady ಸ್ಟುಡಿಯೋ, ಡೇಟಾ ಗ್ರಿಡ್, ಫ್ಯೂಸ್ ಮತ್ತು AMQ ಸ್ಟ್ರೀಮ್‌ಗಳು.
  • ಜುನೋಸ್ ಸ್ಪೇಸ್ ನೆಟ್‌ವರ್ಕ್ ಮ್ಯಾನೇಜ್‌ಮೆಂಟ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್, ನಾರ್ತ್‌ಸ್ಟಾರ್ ಕಂಟ್ರೋಲರ್ / ಪ್ಲಾನರ್, ಪ್ಯಾರಾಗಾನ್ ಒಳನೋಟಗಳು / ಪಾತ್‌ಫೈಂಡರ್ / ಪ್ಲಾನರ್‌ನಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ದೃಢಪಡಿಸಲಾಗಿದೆ.
  • Oracle, vmWare, Broadcom ಮತ್ತು Amazon ನಿಂದ ಅನೇಕ ಉತ್ಪನ್ನಗಳು ಸಹ ಪರಿಣಾಮ ಬೀರುತ್ತವೆ.

Log4j 2 ದುರ್ಬಲತೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗದ Apache ಯೋಜನೆಗಳು: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper ಮತ್ತು CloudStack.

ಸಮಸ್ಯಾತ್ಮಕ ಪ್ಯಾಕೇಜ್‌ಗಳ ಬಳಕೆದಾರರಿಗೆ ಬಿಡುಗಡೆಯಾದ ನವೀಕರಣಗಳನ್ನು ತುರ್ತಾಗಿ ಸ್ಥಾಪಿಸಲು ಸಲಹೆ ನೀಡಲಾಗುತ್ತದೆ ಅವರಿಗೆ, ಪ್ರತ್ಯೇಕವಾಗಿ Log4j 2 ಆವೃತ್ತಿಯನ್ನು ನವೀಕರಿಸಿ ಅಥವಾ Log4j2.formatMsgNoLookups ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು true ಗೆ ಹೊಂದಿಸಿ (ಉದಾಹರಣೆಗೆ, ಪ್ರಾರಂಭದಲ್ಲಿ "-DLog4j2.formatMsgNoLookup = True" ಕೀಯನ್ನು ಸೇರಿಸುವುದು).

ನೇರ ಪ್ರವೇಶವಿಲ್ಲದ ಸಿಸ್ಟಮ್ ಅನ್ನು ಲಾಕ್ ಮಾಡಲು, Logout4Shell ಲಸಿಕೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಸೂಚಿಸಲಾಗಿದೆ, ಇದು ದಾಳಿಯ ಆಯೋಗದ ಮೂಲಕ, "log4j2.formatMsgNoLookups = true", "com.sun.jndi" ಎಂಬ ಜಾವಾ ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ. .rmi.object. TrustURLCodebase = ತಪ್ಪು "ಮತ್ತು" com.sun.jndi.cosnaming.object.trustURLCodebase = ತಪ್ಪು "ಅನಿಯಂತ್ರಿತ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಯ ಮತ್ತಷ್ಟು ಅಭಿವ್ಯಕ್ತಿಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು.


ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಈಮೇಲ್ ವಿಳಾಸ ಪ್ರಕಟವಾದ ಆಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಜಾಗ ಗುರುತಿಸಲಾಗಿದೆ *

*

*

  1. ಡೇಟಾಗೆ ಜವಾಬ್ದಾರಿ: AB ಇಂಟರ್ನೆಟ್ ನೆಟ್ವರ್ಕ್ಸ್ 2008 SL
  2. ಡೇಟಾದ ಉದ್ದೇಶ: ನಿಯಂತ್ರಣ SPAM, ಕಾಮೆಂಟ್ ನಿರ್ವಹಣೆ.
  3. ಕಾನೂನುಬದ್ಧತೆ: ನಿಮ್ಮ ಒಪ್ಪಿಗೆ
  4. ಡೇಟಾದ ಸಂವಹನ: ಕಾನೂನುಬದ್ಧ ಬಾಧ್ಯತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಡೇಟಾವನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಂವಹನ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
  5. ಡೇಟಾ ಸಂಗ್ರಹಣೆ: ಆಕ್ಸೆಂಟಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು (ಇಯು) ಹೋಸ್ಟ್ ಮಾಡಿದ ಡೇಟಾಬೇಸ್
  6. ಹಕ್ಕುಗಳು: ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಮಾಹಿತಿಯನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು, ಮರುಪಡೆಯಬಹುದು ಮತ್ತು ಅಳಿಸಬಹುದು.