Paskutinėmis dienomis tinkle buvo daug kalbų apie Log4 pažeidžiamumąj, kuriame buvo aptikti įvairūs atakų vektoriai ir taip pat buvo išfiltruoti įvairūs funkciniai išnaudojimai, siekiant išnaudoti pažeidžiamumą.
Klausimo rimtumas yra tas, kad tai yra populiari sistema, skirta tvarkyti registrą Java programose., kuri leidžia vykdyti savavališką kodą, kai į registrą įrašoma specialiai suformatuota reikšmė „{jndi: URL}“ formatu. Ataka gali būti vykdoma „Java“ programoms, kurios registruoja vertes, gautas iš išorinių šaltinių, pavyzdžiui, klaidų pranešimuose rodydami problemines reikšmes.
Ir tai užpuolikas pateikia HTTP užklausą tikslinėje sistemoje, kuri generuoja žurnalą naudodama Log4j 2 Kuris naudoja JNDI, kad pateiktų užklausą užpuoliko valdomai svetainei. Dėl pažeidžiamumo išnaudojamas procesas patenka į svetainę ir atlieka naudingą apkrovą. Daugelio stebimų atakų atveju užpuolikui priklausantis parametras yra DNS registracijos sistema, skirta svetainėje užregistruoti užklausą identifikuoti pažeidžiamas sistemas.
Kaip jau pasidalijo mūsų kolega Isaac:
Šis Log4j pažeidžiamumas leidžia išnaudoti neteisingą įvesties patvirtinimą į LDAP, leidžiančią nuotolinis kodo vykdymas (RCE) ir pažeidžiamas serveris (konfidencialumas, duomenų vientisumas ir sistemos prieinamumas). Be to, šio pažeidžiamumo problema arba svarba slypi jį naudojančių programų ir serverių skaičiuje, įskaitant verslo programinę įrangą ir debesies paslaugas, tokias kaip Apple iCloud, Steam, arba populiarius vaizdo žaidimus, tokius kaip Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash ir ilgas ir kt.
Kalbėdamas šiuo klausimu, neseniai išleistas Apache Software Foundation per įrašą projektų, kurie pašalina kritinį Log4j 2 pažeidžiamumą, santrauka kuri leidžia serveryje paleisti savavališką kodą.
Paveikti šie „Apache“ projektai: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl ir Calcite Avatica. Pažeidžiamumas taip pat paveikė „GitHub“ produktus, įskaitant „GitHub.com“, „GitHub Enterprise Cloud“ ir „GitHub Enterprise Server“.
Pastarosiomis dienomis pastebimas padidėjimas veiklos, susijusios su pažeidžiamumo išnaudojimu. Pavyzdžiui, „Check Point“ registravo apie 100 išnaudojimo bandymų per minutę savo fiktyviuose serveriuose jo viršūnė, o „Sophos“ paskelbė atradęs naują kriptovaliutų kasybos robotų tinklą, sudarytą iš sistemų su nepataisytu „Log4j 2“ pažeidžiamumu.
Dėl informacijos, kuri buvo paskelbta apie problemą:
- Pažeidžiamumas patvirtintas daugelyje oficialių „Docker“ vaizdų, įskaitant „couchbase“, „elasticsearch“, „flink“, „solr“, „storm“ vaizdus ir kt.
- Pažeidžiamumas yra MongoDB Atlas Search produkte.
- Problema kyla įvairiuose „Cisco“ produktuose, įskaitant „Cisco Webex Meetings Server“, „Cisco CX Cloud Agent“, „Cisco“.
- Išplėstinė žiniatinklio saugos ataskaita, „Cisco Firepower Threat Defense“ (FTD), „Cisco Identity Services Engine“ (ISE), „Cisco CloudCenter“, „Cisco DNA Center“, „Cisco“. BroadWorks ir kt.
- Problema yra IBM WebSphere Application Server ir šiuose Red Hat produktuose: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse ir AMQ Streams.
- Patvirtinta „Junos Space Network Management Platform“, „Northstar“ valdiklio / planavimo, „Paragon Insights“ / „Pathfinder / Planner“ problema.
- Taip pat turi įtakos daugelis „Oracle“, „vmWare“, „Broadcom“ ir „Amazon“ produktų.
„Apache“ projektai, kurių nepaveikia „Log4j 2“ pažeidžiamumas: „Apache Iceberg“, „Guacamole“, „Hadoop“, „Log4Net“, „Spark“, „Tomcat“, „ZooKeeper“ ir „CloudStack“.
Probleminių paketų naudotojams patariama skubiai įdiegti išleistus naujinimus jiems atskirai atnaujinkite Log4j 2 versiją arba nustatykite parametrą Log4j2.formatMsgNoLookups į true (pavyzdžiui, paleidžiant pridėkite raktą „-DLog4j2.formatMsgNoLookup = True“).
Norint užrakinti sistemą, kuri yra pažeidžiama, prie kurios nėra tiesioginės prieigos, buvo pasiūlyta išnaudoti Logout4Shell vakciną, kuri, įvykdžius ataką, atskleidžia Java parametrą „log4j2.formatMsgNoLookups = true“, „com.sun.jndi .rmi.objektas. trustURLCodebase = false "ir" com.sun.jndi.cosnaming.object.trustURLCodebase = false "kad užblokuotų tolesnius pažeidžiamumo apraiškas nekontroliuojamose sistemose.