I løpet av de siste dagene på nettet har det vært mye snakk om sårbarheten til Log4j der ulike angrepsvektorer er oppdaget og ulike funksjonelle utnyttelser er også filtrert for å utnytte sårbarheten.
Sakens alvor er at dette er et populært rammeverk for å organisere registret i Java-applikasjoner., som gjør at vilkårlig kode kan kjøres når en spesielt formatert verdi skrives til registeret i formatet "{jndi: URL}". Angrepet kan utføres på Java-applikasjoner som logger verdier hentet fra eksterne kilder, for eksempel ved å vise problematiske verdier i feilmeldinger.
Og det en angriper gjør en HTTP-forespørsel på et målsystem, som genererer en logg ved hjelp av Log4j 2 Som bruker JNDI til å sende en forespørsel til det angriperkontrollerte nettstedet. Sårbarheten får deretter den utnyttede prosessen til å ankomme stedet og utføre nyttelasten. I mange observerte angrep er parameteren som tilhører angriperen et DNS-registreringssystem, beregnet på å registrere en forespørsel på nettstedet for å identifisere sårbare systemer.
Som vår kollega Isaac allerede har delt:
Denne sårbarheten til Log4j gjør det mulig å utnytte en feil inndatavalidering til LDAP, noe som tillater ekstern kjøring av kode (RCE), og kompromittere serveren (konfidensialitet, dataintegritet og systemtilgjengelighet). I tillegg ligger problemet eller viktigheten av denne sårbarheten i antall applikasjoner og servere som bruker den, inkludert forretningsprogramvare og skytjenester som Apple iCloud, Steam eller populære videospill som Minecraft: Java Edition, Twitter, Cloudflare, Tencent , ElasticSearch, Redis, Elastic Logstash og en lang etc.
Snakker om saken, nylig Apache Software Foundation utgitt gjennom En stolpe et sammendrag av prosjekter som adresserer en kritisk sårbarhet i Log4j 2 som lar vilkårlig kode kjøres på serveren.
Følgende Apache-prosjekter er berørt: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl og Calcite Avatica. Sårbarheten påvirket også GitHub-produkter, inkludert GitHub.com, GitHub Enterprise Cloud og GitHub Enterprise Server.
De siste dagene har det vært en betydelig økning av aktiviteten knyttet til utnyttelse av sårbarhet. For eksempel, Check Point logget rundt 100 utnyttelsesforsøk per minutt på sine fiktive servere toppen, og Sophos kunngjorde oppdagelsen av et nytt gruve-botnett for kryptovaluta, dannet fra systemer med en uopprettet sårbarhet i Log4j 2.
Angående informasjonen som er gitt ut om problemet:
- Sårbarheten er bekreftet i mange offisielle Docker-bilder, inkludert couchbase, elasticsearch, flink, solr, stormbilder, etc.
- Sårbarheten er tilstede i MongoDB Atlas Search-produktet.
- Problemet vises i en rekke Cisco-produkter, inkludert Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- Avansert nettsikkerhetsrapportering, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks, etc.
- Problemet er tilstede i IBM WebSphere Application Server og i følgende Red Hat-produkter: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse og AMQ Streams.
- Bekreftet problem i Junos Space Network Management Platform, Northstar Controller / Planner, Paragon Insights / Pathfinder / Planner.
- Mange produkter fra Oracle, vmWare, Broadcom og Amazon er også berørt.
Apache-prosjekter som ikke er berørt av Log4j 2-sårbarheten: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper og CloudStack.
Brukere av problematiske pakker anbefales å raskt installere de utgitte oppdateringene for dem oppdaterer du versjonen av Log4j 2 separat eller setter parameteren Log4j2.formatMsgNoLookups til true (for eksempel ved å legge til nøkkelen "-DLog4j2.formatMsgNoLookup = True" ved oppstart).
For å låse systemet er sårbart som det ikke er direkte tilgang til, ble det foreslått å utnytte Logout4Shell-vaksinen, som, gjennom å utføre et angrep, avslører Java-innstillingen "log4j2.formatMsgNoLookups = true", "com.sun.jndi .rmi.objekt. trustURLCodebase = falsk "og" com.sun.jndi.cosnaming.object.trustURLCodebase = falsk "for å blokkere ytterligere manifestasjoner av sårbarheten på ukontrollerte systemer.