Pengarah CISA, Jen Easterly berkata kecacatan keselamatan Log4j adalah yang paling teruk yang dia lihat dalam pengasuhnya dan profesional keselamatan akan menghadapi akibatnya dari kesilapan untuk masa yang lama.
Jika dibiarkan tanpa tampalan kecacatan keselamatan utama yang ditemui sebulan yang lalu dalam perpustakaan pengelogan Java Apache Log4j menimbulkan risiko untuk sektor besar Internet, penggodam boleh mengeksploitasi kelemahan perisian yang digunakan secara meluas untuk merampas pelayan komputer, meletakkan segala-galanya daripada elektronik pengguna kepada sistem kerajaan dan korporat berisiko serangan siber.
Pada 9 Disember, ia ditemui kelemahan dalam perpustakaan log Apache log4j. Pustaka ini digunakan secara meluas dalam projek pembangunan aplikasi Java / J2EE, serta oleh pembekal penyelesaian perisian berasaskan Java / J2EE standard.
Log4j termasuk mekanisme carian yang boleh digunakan untuk membuat pertanyaan melalui sintaks khas dalam rentetan format. Secara lalai, semua permintaan dibuat dengan awalan java: comp / env / *; akan tetapi, pengarang melaksanakan pilihan untuk menggunakan awalan tersuai menggunakan simbol kolon dalam klef. Di sinilah kelemahan terletak: jika jndi: ldap: // digunakan sebagai kunci, permintaan pergi ke pelayan LDAP yang ditentukan. Protokol komunikasi lain seperti LDAPS, DNS dan RMI juga boleh digunakan.
Oleh itu, pelayan jauh yang dikawal oleh penyerang boleh mengembalikan objek kepada pelayan yang terdedah, yang boleh membawa kepada pelaksanaan kod sewenang-wenangnya pada sistem atau kebocoran data sulit. Apa yang perlu dilakukan oleh penyerang ialah menghantar rentetan khas melalui mekanisme yang menulis rentetan ini ke fail log dan oleh itu diuruskan oleh perpustakaan Log4j.
Ini boleh dilakukan dengan permintaan HTTP mudah, contohnya, yang dihantar melalui borang web, medan data, dsb., atau dengan sebarang jenis interaksi lain menggunakan pendaftaran sebelah pelayan.
- Versi 2.15.0 tidak menyelesaikan isu lain, CVE-2021-45046, yang membenarkan penyerang jauh mengawal Peta Konteks Benang (MDC) untuk menyediakan entri berniat jahat menggunakan corak carian JNDI. Hasilnya boleh menjadi pelaksanaan kod jauh, nasib baik tidak dalam semua persekitaran.
- Versi 2.16.0 membetulkan masalah ini. Tetapi ia tidak membetulkan CVE-2021-45105, yang diterangkan oleh Yayasan Perisian Apache seperti berikut:
“Apache Log2.0j1 versi 2.16.0-alpha4 hingga 2 tidak melindungi daripada pengulangan carian rujukan diri yang tidak terkawal. Apabila konfigurasi pendaftaran menggunakan reka letak templat yang berbeza daripada lalai dengan carian konteks (contohnya, $$ {ctx: loginId}), penyerang yang mengawal data input Peta Konteks Benang (MDC) boleh mencipta data log masuk. Entri berniat jahat yang mengandungi carian rekursif . , yang menjana StackOverflowError yang akan menamatkan proses. Ini juga dikenali sebagai serangan penafian perkhidmatan (DOS).
Program hadiah pepijat bebas vendor, Zero Day Initiative, menerangkan kecacatan seperti berikut:
"Apabila pembolehubah bersarang digantikan oleh kelas StrSubstitutor, ia secara rekursif memanggil kelas penggantian (). Walau bagaimanapun, apabila pembolehubah bersarang merujuk kepada pembolehubah yang akan diganti, rekursi dipanggil dengan rentetan yang sama. Ini membawa kepada rekursi tak terhingga dan keadaan DoS pada pelayan ”.
Satu lagi pepijat pelaksanaan kod jauh kritikal kini dikesan sebagai CVE-2021-44832 ditemui dalam perpustakaan log Apache Log4j yang sama. Ini adalah kelemahan keempat dalam perpustakaan Log4j.
Dinilai "sederhana" dalam keterukan dengan skor 6,6 pada skala CVSS, kerentanan berpunca daripada kekurangan kawalan tambahan ke atas akses JDNI dalam log4j.
Pasukan keselamatan Apache mengeluarkan versi lain Apache Log4J (versi 2.17.1) yang membetulkan pepijat pelaksanaan kod jauh CVE-2021-44832 yang baru ditemui. Ini adalah satu lagi keadaan buruk bagi kebanyakan pengguna tetapi sekali lagi adalah sangat disyorkan untuk mengemas kini sistem anda untuk menyelesaikan isu kritikal ini.
Tiada agensi persekutuan A.S. telah terjejas disebabkan kelemahan itu, Jen Easterly memberitahu pemberita dalam panggilan. Selain itu, tiada serangan siber besar yang berkaitan dengan pepijat telah dilaporkan di Amerika Syarikat, walaupun banyak serangan tidak dilaporkan, katanya.
Easterly berkata sejauh mana kelemahan itu, menjejaskan berpuluh-puluh juta peranti yang disambungkan ke Internet, menjadikannya yang paling teruk yang pernah dilihatnya dalam kerjayanya. Penyerang mungkin menunggu masa mereka, katanya, menunggu syarikat dan lain-lain menurunkan pertahanan mereka sebelum menyerang.
"Kami berharap Log4Shell akan digunakan untuk pencerobohan pada masa hadapan," kata Easterly. Beliau menyatakan bahawa pelanggaran data Equifax pada 2017, yang menjejaskan maklumat peribadi hampir 150 juta rakyat Amerika, adalah disebabkan oleh kelemahan dalam perisian sumber terbuka.
Setakat ini, kebanyakan percubaan untuk mengeksploitasi pepijat telah memberi tumpuan kepada perlombongan mata wang kripto peringkat rendah atau percubaan untuk menarik peranti ke dalam botnet, katanya.
Fuente: https://www.cnet.com
Ini kerana terlalu kejuruteraan. Setiap komponen mesti melakukan hanya satu perkara dan melakukannya dengan baik. Tetapi pemaju mempunyai tabiat buruk untuk meletakkan lapisan dan lebih banyak lapisan dan fungsi yang tidak perlu, yang tidak menjadikannya lebih kompleks dan terdedah kepada kegagalan jenis ini... Saya telah berkata...