Pēdējo dienu laikā tīklā ir daudz runāts par Log4 ievainojamībuj, kurā ir atklāti dažādi uzbrukuma vektori, kā arī ir filtrēti dažādi funkcionāli izlietojumi, lai izmantotu ievainojamību.
Lietas nopietnība ir tāda, ka šī ir populāra sistēma Java lietojumprogrammu reģistra organizēšanai., kas ļauj izpildīt patvaļīgu kodu, kad reģistrā tiek ierakstīta īpaši formatēta vērtība formātā "{jndi: URL}". Uzbrukumu var veikt Java lietojumprogrammām, kas reģistrē vērtības, kas iegūtas no ārējiem avotiem, piemēram, kļūdu ziņojumos parādot problemātiskas vērtības.
Un tas uzbrucējs veic HTTP pieprasījumu mērķa sistēmā, kas ģenerē žurnālu, izmantojot Log4j 2 Kas izmanto JNDI, lai nosūtītu pieprasījumu uzbrucēja kontrolētajai vietnei. Pēc tam ievainojamība liek izmantotajam procesam nonākt vietnē un izpildīt lietderīgo slodzi. Daudzos novērotajos uzbrukumos parametrs, kas pieder uzbrucējam, ir DNS reģistrācijas sistēma, kas paredzēta, lai vietnē reģistrētu pieprasījumu identificēt ievainojamās sistēmas.
Kā jau dalījās mūsu kolēģis Īzaks:
Šī Log4j ievainojamība ļauj izmantot nepareizu ievades validāciju LDAP, ļaujot attālināta koda izpilde (RCE) un servera kompromitēšana (konfidencialitāte, datu integritāte un sistēmas pieejamība). Turklāt šīs ievainojamības problēma vai nozīme ir saistīta ar to izmantoto lietojumprogrammu un serveru skaitu, tostarp biznesa programmatūru un mākoņpakalpojumiem, piemēram, Apple iCloud, Steam, vai populārām videospēlēm, piemēram, Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash un garš utt.
Runājot par šo jautājumu, nesen Izlaida Apache Software Foundation ar ziņu to projektu kopsavilkums, kas novērš Log4j 2 kritisko ievainojamību kas ļauj serverī palaist patvaļīgu kodu.
Tiek ietekmēti šādi Apache projekti: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl un Calcite Avatica. Ievainojamība skāra arī GitHub produktus, tostarp GitHub.com, GitHub Enterprise Cloud un GitHub Enterprise Server.
Pēdējās dienās ir bijis ievērojams pieaugums darbību, kas saistīta ar ievainojamības izmantošanu. Piemēram, Check Point savos fiktīvajos serveros reģistrēja aptuveni 100 ekspluatācijas mēģinājumus minūtē savu maksimumu, un Sophos paziņoja par jauna kriptovalūtas ieguves robottīkla atklāšanu, kas izveidots no sistēmām ar neaizlāptu Log4j 2 ievainojamību.
Attiecībā uz informāciju, kas ir izlaista par problēmu:
- Ievainojamība ir apstiprināta daudzos oficiālajos Docker attēlos, tostarp couchbase, elasticsearch, flink, solr, vētras attēlos utt.
- Ievainojamība ir MongoDB Atlas Search produktā.
- Problēma parādās dažādos Cisco produktos, tostarp Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- Uzlabota tīmekļa drošības ziņošana, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNS centrs, Cisco. BroadWorks utt.
- Problēma pastāv IBM WebSphere Application Server un šādos Red Hat produktos: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse un AMQ Streams.
- Apstiprināta problēma programmā Junos Space Network Management Platform, Northstar kontrolleris/plānotājs, Paragon Insights/Pathfinder/plānotājs.
- Tiek ietekmēti arī daudzi Oracle, vmWare, Broadcom un Amazon produkti.
Apache projekti, kurus neietekmē Log4j 2 ievainojamība: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper un CloudStack.
Problēmu pakotņu lietotājiem ieteicams steidzami instalēt izlaistos atjauninājumus tiem atsevišķi atjauniniet Log4j 2 versiju vai iestatiet parametru Log4j2.formatMsgNoLookups uz true (piemēram, startēšanas laikā pievienojot atslēgu "-DLog4j2.formatMsgNoLookup = True").
Lai bloķētu sistēmu, kas ir neaizsargāta, kurai nav tiešas piekļuves, tika ieteikts izmantot Logout4Shell vakcīnu, kas, veicot uzbrukumu, atklāj Java iestatījumu "log4j2.formatMsgNoLookups = true", "com.sun.jndi .rmi.objekts. trustURLCodebase = false "un" com.sun.jndi.cosnaming.object.trustURLCodebase = false ", lai bloķētu turpmākas ievainojamības izpausmes nekontrolētās sistēmās.