शेवटच्या दिवसात Log4 च्या भेद्यतेबद्दल नेटवर बरीच चर्चा झाली आहेj ज्यामध्ये विविध आक्रमण वेक्टर शोधले गेले आहेत आणि असुरक्षिततेचे शोषण करण्यासाठी विविध कार्यात्मक शोषणे देखील फिल्टर केली गेली आहेत.
प्रकरणाचे गांभीर्य असे आहे की जावा ऍप्लिकेशन्समध्ये रेजिस्ट्री आयोजित करण्यासाठी ही एक लोकप्रिय फ्रेमवर्क आहे., जे रजिस्ट्रीला "{jndi: URL}" फॉरमॅटमध्ये विशेष स्वरूपित मूल्य लिहिले जाते तेव्हा अनियंत्रित कोड कार्यान्वित करण्यास अनुमती देते. हा हल्ला जावा ऍप्लिकेशन्सवर केला जाऊ शकतो जे बाह्य स्त्रोतांकडून प्राप्त केलेली मूल्ये लॉग करतात, उदाहरणार्थ त्रुटी संदेशांमध्ये समस्याप्रधान मूल्ये प्रदर्शित करून.
आणि ते आहे आक्रमणकर्ता लक्ष्य प्रणालीवर HTTP विनंती करतो, जो Log4j 2 वापरून लॉग जनरेट करतो जे हल्लेखोर-नियंत्रित साइटला विनंती करण्यासाठी JNDI चा वापर करते. असुरक्षिततेमुळे शोषण प्रक्रिया साइटवर पोहोचते आणि पेलोड कार्यान्वित होते. अनेक निरीक्षण केलेल्या हल्ल्यांमध्ये, आक्रमणकर्त्याचे पॅरामीटर एक DNS नोंदणी प्रणाली असते, ज्याचा उद्देश असुरक्षित सिस्टम ओळखण्यासाठी साइटवर विनंती नोंदवायचा असतो.
आमचा सहकारी इसहाकने आधीच सामायिक केल्याप्रमाणे:
Log4j ची ही भेद्यता LDAP ला चुकीच्या इनपुट प्रमाणीकरणाचा फायदा घेण्यास अनुमती देते. दूरस्थ कोडची अंमलबजावणी (RCE), आणि सर्व्हरशी तडजोड करणे (गोपनीयता, डेटा अखंडता आणि सिस्टम उपलब्धता). या व्यतिरिक्त, या असुरक्षिततेची समस्या किंवा महत्त्व हे वापरणार्या ऍप्लिकेशन्स आणि सर्व्हरच्या संख्येमध्ये आहे, ज्यामध्ये व्यवसाय सॉफ्टवेअर आणि Apple iCloud, Steam सारख्या क्लाउड सेवा किंवा Minecraft: Java Edition, Twitter, Cloudflare सारख्या लोकप्रिय व्हिडिओ गेम समाविष्ट आहेत. Tencent , ElasticSearch, Redis, Elastic Logstash, and a long etc.
याबाबत बोलताना नुकतेच आ अपाचे सॉफ्टवेअर फाउंडेशन जारी केले mediante एक पोस्ट Log4j 2 मधील गंभीर असुरक्षा दूर करणाऱ्या प्रकल्पांचा सारांश जे सर्व्हरवर अनियंत्रित कोड चालवण्यास अनुमती देते.
खालील Apache प्रकल्प प्रभावित झाले आहेत: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl आणि Calcite Avatica. असुरक्षिततेमुळे GitHub.com, GitHub Enterprise Cloud आणि GitHub Enterprise Server यासह GitHub उत्पादनांवर देखील परिणाम झाला.
अलीकडच्या काही दिवसांत त्यात लक्षणीय वाढ झाली आहे असुरक्षिततेच्या शोषणाशी संबंधित क्रियाकलाप. उदाहरणार्थ, चेक पॉइंटने त्याच्या काल्पनिक सर्व्हरवर प्रति मिनिट सुमारे 100 शोषण प्रयत्न लॉग केले त्याचे शिखर, आणि Sophos ने Log4j 2 मधील अनपॅच नसलेल्या असुरक्षा असलेल्या प्रणालींमधून तयार केलेल्या नवीन क्रिप्टोकरन्सी मायनिंग बॉटनेटचा शोध जाहीर केला.
समस्येबद्दल जारी केलेल्या माहितीबद्दल:
- काउचबेस, इलास्टिकसर्च, फ्लिंक, सोलर, वादळ प्रतिमा इत्यादींसह अनेक अधिकृत डॉकर प्रतिमांमध्ये भेद्यतेची पुष्टी केली गेली आहे.
- मोंगोडीबी ऍटलस शोध उत्पादनामध्ये भेद्यता उपस्थित आहे.
- सिस्को वेबेक्स मीटिंग सर्व्हर, सिस्को सीएक्स क्लाउड एजंट, सिस्कोसह विविध सिस्को उत्पादनांमध्ये ही समस्या दिसून येते.
- प्रगत वेब सुरक्षा अहवाल, सिस्को फायरपॉवर थ्रेट डिफेन्स (एफटीडी), सिस्को आयडेंटिटी सर्व्हिसेस इंजिन (आयएसई), सिस्को क्लाउड सेंटर, सिस्को डीएनए सेंटर, सिस्को. ब्रॉडवर्क्स इ.
- समस्या IBM WebSphere ऍप्लिकेशन सर्व्हरमध्ये आणि खालील Red Hat उत्पादनांमध्ये आहे: OpenShift, OpenShift लॉगिंग, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse, आणि AMQ Streams.
- जुनोस स्पेस नेटवर्क मॅनेजमेंट प्लॅटफॉर्म, नॉर्थस्टार कंट्रोलर / प्लॅनर, पॅरागॉन इनसाइट्स / पाथफाइंडर / प्लॅनरमध्ये पुष्टी केलेली समस्या.
- Oracle, vmWare, Broadcom आणि Amazon मधील अनेक उत्पादने देखील प्रभावित आहेत.
Log4j 2 असुरक्षिततेमुळे प्रभावित होत नसलेले Apache प्रकल्प: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper आणि CloudStack.
समस्याप्रधान पॅकेजेसच्या वापरकर्त्यांना तात्काळ जारी केलेली अद्यतने स्थापित करण्याचा सल्ला दिला जातो त्यांच्यासाठी, Log4j 2 ची आवृत्ती स्वतंत्रपणे अपडेट करा किंवा Log4j2.formatMsgNoLookups पॅरामीटर सत्यावर सेट करा (उदाहरणार्थ, स्टार्टअपवर "-DLog4j2.formatMsgNoLookup = True" की जोडणे).
प्रणाली लॉक करण्यासाठी असुरक्षित आहे ज्यामध्ये थेट प्रवेश नाही, Logout4Shell लसीचा फायदा घेण्यास सुचवले होते, जे आक्रमणाच्या माध्यमातून, Java सेटिंग "log4j2.formatMsgNoLookups = true", "com.sun.jndi" उघड करते. .rmi.ऑब्जेक्ट. trustURLCodebase = false "आणि" com.sun.jndi.cosnaming.object.trustURLCodebase = false "अनियंत्रित प्रणालींवरील भेद्यतेचे पुढील प्रकटीकरण अवरोधित करण्यासाठी.