Около 17 проектов Apache подвержены уязвимости Log4j 2

log4j

В последние дни в сети много говорилось об уязвимости Log4j, в котором были обнаружены различные векторы атак и были отфильтрованы различные функциональные эксплойты для использования уязвимости.

Серьезность вопроса в том, что это популярный фреймворк для организации реестра в Java-приложениях., который позволяет выполнять произвольный код, когда в реестр записывается специально отформатированное значение в формате "{jndi: URL}". Атака может быть проведена на Java-приложениях, которые регистрируют значения, полученные из внешних источников, например, отображая проблемные значения в сообщениях об ошибках.

И это злоумышленник отправляет HTTP-запрос в целевую систему, которая создает журнал с использованием Log4j 2 Которая использует JNDI для отправки запроса на сайт, контролируемый злоумышленником. Затем уязвимость заставляет эксплуатируемый процесс прибыть на сайт и выполнить полезную нагрузку. Во многих наблюдаемых атаках параметром, который принадлежит злоумышленнику, является система регистрации DNS, предназначенная для регистрации запроса на сайте для идентификации уязвимых систем.

Как уже поделился наш коллега Исаак:

Эта уязвимость Log4j позволяет использовать неправильную проверку входных данных для LDAP, что позволяет удаленное выполнение кода (RCE) и компрометация сервера (конфиденциальность, целостность данных и доступность системы). Кроме того, проблема или важность этой уязвимости заключается в количестве приложений и серверов, которые ее используют, включая программное обеспечение для бизнеса и облачные сервисы, такие как Apple iCloud, Steam или популярные видеоигры, такие как Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash и многие другие.

Кстати, недавно выпущен Apache Software Foundation через Почта сводка проектов, направленных на устранение критической уязвимости в Log4j 2 что позволяет запускать произвольный код на сервере.

Затронуты следующие проекты Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica. Уязвимость также затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server.

В последние дни наблюдается значительный рост деятельности, связанной с эксплуатацией уязвимости. Например, Check Point регистрировала около 100 попыток эксплойтов в минуту на своих фиктивных серверах в своего пика, и Sophos объявила об открытии нового ботнета для майнинга криптовалюты, сформированного из систем с незащищенной уязвимостью в Log4j 2.

Относительно информации, которая была выпущена о проблеме:

  • Уязвимость подтверждена во многих официальных образах Docker, включая couchbase, elasticsearch, flink, solr, storm images и т. Д.
  • Уязвимость присутствует в продукте MongoDB Atlas Search.
  • Проблема проявляется в различных продуктах Cisco, включая Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
  • Расширенные отчеты по веб-безопасности, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks и др.
  • Проблема присутствует в IBM WebSphere Application Server и в следующих продуктах Red Hat: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse и AMQ Streams.
  • Подтвержденная проблема в Junos Space Network Management Platform, Northstar Controller / Planner, Paragon Insights / Pathfinder / Planner.
  • Также затронуты многие продукты Oracle, vmWare, Broadcom и Amazon.

Проекты Apache, не подверженные уязвимости Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper и CloudStack.

Пользователям проблемных пакетов рекомендуется срочно установить выпущенные обновления. для них отдельно обновите версию Log4j 2 или установите для параметра Log4j2.formatMsgNoLookups значение true (например, добавив ключ «-DLog4j2.formatMsgNoLookup = True» при запуске).

Чтобы заблокировать уязвимую систему, к которой нет прямого доступа, было предложено использовать вакцину Logout4Shell, которая в результате атаки раскрывает параметр Java «log4j2.formatMsgNoLookups = true», «com.sun.jndi .rmi.object. trustURLCodebase = false "и" com.sun.jndi.cosnaming.object.trustURLCodebase = false ", чтобы заблокировать дальнейшие проявления уязвимости в неконтролируемых системах.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.