Pada hari-hari terakhir di internet terdapat banyak perbincangan mengenai kelemahan Log4j di mana pelbagai vektor serangan telah ditemui dan pelbagai eksploitasi berfungsi juga telah ditapis untuk mengeksploitasi kelemahan.
Keseriusan perkara ini ialah ini adalah rangka kerja yang popular untuk mengatur pendaftaran dalam aplikasi Java., yang membenarkan kod arbitrari dilaksanakan apabila nilai yang diformat khas ditulis pada pendaftaran dalam format "{jndi: URL}". Serangan itu boleh dilakukan pada aplikasi Java yang mencatatkan nilai yang diperoleh daripada sumber luaran, contohnya dengan memaparkan nilai bermasalah dalam mesej ralat.
Dan ia penyerang membuat permintaan HTTP pada sistem sasaran, yang menghasilkan log menggunakan Log4j 2 Yang menggunakan JNDI untuk membuat permintaan ke tapak yang dikawal oleh penyerang. Kerentanan itu kemudian menyebabkan proses yang dieksploitasi tiba di tapak dan melaksanakan muatan. Dalam banyak serangan yang diperhatikan, parameter yang dimiliki oleh penyerang ialah sistem pendaftaran DNS, bertujuan untuk mendaftarkan permintaan di tapak untuk mengenal pasti sistem yang terdedah.
Seperti yang telah dikongsi oleh rakan sekerja kami Isaac:
Kerentanan Log4j ini membolehkan untuk mengeksploitasi pengesahan input yang salah kepada LDAP, membenarkan pelaksanaan kod jauh (RCE), dan menjejaskan pelayan (kerahsiaan, integriti data dan ketersediaan sistem). Selain itu, masalah atau kepentingan kelemahan ini terletak pada bilangan aplikasi dan pelayan yang menggunakannya, termasuk perisian perniagaan dan perkhidmatan awan seperti Apple iCloud, Steam atau permainan video popular seperti Minecraft: Edisi Java, Twitter, Cloudflare, Tencent , ElasticSearch, Redis, Elastic Logstash, dan lain-lain yang panjang.
Bercakap mengenai perkara itu, baru-baru ini Yayasan Perisian Apache dikeluarkan melalui jawatan ringkasan projek yang menangani kelemahan kritikal dalam Log4j 2 yang membolehkan kod sewenang-wenangnya dijalankan pada pelayan.
Projek Apache berikut terjejas: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozon, SkyWalking, Solr, Struts, TrafficControl dan Calcite Avatica. Kerentanan itu turut menjejaskan produk GitHub, termasuk GitHub.com, GitHub Enterprise Cloud dan GitHub Enterprise Server.
Dalam beberapa hari kebelakangan ini terdapat peningkatan yang ketara daripada aktiviti yang berkaitan dengan eksploitasi kelemahan. Sebagai contoh, Check Point mencatatkan kira-kira 100 percubaan mengeksploitasi seminit pada pelayan rekaan masuknya kemuncaknya, dan Sophos mengumumkan penemuan botnet perlombongan mata wang kripto baharu, yang terbentuk daripada sistem dengan kelemahan yang belum ditambal dalam Log4j 2.
Berkenaan maklumat yang telah dikeluarkan mengenai masalah tersebut:
- Kerentanan telah disahkan dalam banyak imej Docker rasmi, termasuk couchbase, elasticsearch, flink, solr, imej ribut, dsb.
- Kerentanan itu terdapat dalam produk MongoDB Atlas Search.
- Masalahnya muncul dalam pelbagai produk Cisco, termasuk Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- Pelaporan Keselamatan Web Lanjutan, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks, dsb.
- Masalahnya terdapat dalam IBM WebSphere Application Server dan dalam produk Red Hat berikut: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse dan AMQ Streams.
- Isu yang disahkan dalam Junos Space Network Management Platform, Northstar Controller / Planner, Paragon Insights / Pathfinder / Planner.
- Banyak produk daripada Oracle, vmWare, Broadcom dan Amazon turut terjejas.
Projek Apache yang tidak terjejas oleh kelemahan Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper dan CloudStack.
Pengguna pakej yang bermasalah dinasihatkan untuk memasang kemas kini yang dikeluarkan dengan segera bagi mereka, kemas kini versi Log4j 2 secara berasingan atau tetapkan parameter Log4j2.formatMsgNoLookups kepada benar (contohnya, menambah kekunci "-DLog4j2.formatMsgNoLookup = True" pada permulaan).
Untuk mengunci sistem yang terdedah kepada yang tidak mempunyai akses langsung, adalah dicadangkan untuk mengeksploitasi vaksin Logout4Shell, yang, melalui pelakuan serangan, mendedahkan tetapan Java "log4j2.formatMsgNoLookups = true", "com.sun.jndi .rmi.objek. trustURLCodebase = palsu "dan" com.sun.jndi.cosnaming.object.trustURLCodebase = palsu "untuk menyekat manifestasi selanjutnya kelemahan pada sistem yang tidak terkawal.