Počas posledných dní na nete sa veľa hovorilo o zraniteľnosti Log4j, v ktorom boli objavené rôzne útočné vektory a boli tiež filtrované rôzne funkčné exploity s cieľom využiť túto zraniteľnosť.
Vážnosť veci je, že ide o populárny rámec na organizáciu registra v aplikáciách Java., ktorý umožňuje spustenie ľubovoľného kódu, keď sa do registra zapíše špeciálne naformátovaná hodnota vo formáte "{jndi: URL}". Útok je možné vykonať na Java aplikácie, ktoré zaznamenávajú hodnoty získané z externých zdrojov, napríklad zobrazovaním problematických hodnôt v chybových hláseniach.
A útočník zadá požiadavku HTTP na cieľový systém, ktorý vygeneruje protokol pomocou Log4j 2 Ktorý používa JNDI na zadanie požiadavky na stránku kontrolovanú útočníkom. Zraniteľnosť potom spôsobí, že využívaný proces dorazí na lokalitu a spustí užitočné zaťaženie. V mnohých pozorovaných útokoch je parametrom, ktorý patrí útočníkovi, registračný systém DNS, ktorý má na webe zaregistrovať požiadavku na identifikáciu zraniteľných systémov.
Ako už povedal náš kolega Isaac:
Táto zraniteľnosť Log4j umožňuje zneužiť nesprávnu validáciu vstupu do LDAP, čo umožňuje vzdialené spustenie kódu (RCE) a ohrozenie servera (dôvernosť, integrita údajov a dostupnosť systému). Okrem toho problém alebo dôležitosť tejto zraniteľnosti spočíva v počte aplikácií a serverov, ktoré ju využívajú, vrátane podnikového softvéru a cloudových služieb ako Apple iCloud, Steam alebo populárnych videohier ako Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash a long atď.
Nedávno sme o tom hovorili vydala Apache Software Foundation cez príspevok súhrn projektov, ktoré riešia kritickú zraniteľnosť v Log4j 2 ktorý umožňuje spustenie ľubovoľného kódu na serveri.
Ovplyvnené sú nasledujúce projekty Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl a Calcite Avatica. Zraniteľnosť ovplyvnila aj produkty GitHub vrátane GitHub.com, GitHub Enterprise Cloud a GitHub Enterprise Server.
V posledných dňoch došlo k výraznému nárastu činnosti súvisiacej so zneužívaním zraniteľnosti. Napríklad, Check Point zaznamenal približne 100 pokusov o zneužitie za minútu na svojich fiktívnych serveroch svoj vrchol a Sophos oznámil objav nového botnetu na ťažbu kryptomien, ktorý bol vytvorený zo systémov s neopravenou zraniteľnosťou v Log4j 2.
Pokiaľ ide o informácie, ktoré boli zverejnené o probléme:
- Zraniteľnosť bola potvrdená v mnohých oficiálnych obrázkoch Docker, vrátane obrázkov couchbase, elasticsearch, flink, solr, búrky atď.
- Zraniteľnosť je prítomná v produkte MongoDB Atlas Search.
- Problém sa objavuje v rôznych produktoch Cisco, vrátane Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- Advanced Web Security Reporting, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks atď.
- Problém je prítomný v IBM WebSphere Application Server a v nasledujúcich produktoch Red Hat: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse a AMQ Streams.
- Potvrdený problém v platforme Junos Space Network Management Platform, Northstar Controller / Planner, Paragon Insights / Pathfinder / Planner.
- Týka sa to aj mnohých produktov od spoločností Oracle, vmWare, Broadcom a Amazon.
Projekty Apache, ktoré nie sú ovplyvnené zraniteľnosťou Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper a CloudStack.
Používateľom problematických balíkov sa odporúča urýchlene nainštalovať vydané aktualizácie pre nich samostatne aktualizujte verziu Log4j 2 alebo nastavte parameter Log4j2.formatMsgNoLookups na hodnotu true (napríklad pridanie kľúča "-DLog4j2.formatMsgNoLookup = True" pri spustení).
Na uzamknutie systému je zraniteľný, ku ktorému neexistuje priamy prístup, bolo navrhnuté využiť vakcínu Logout4Shell, ktorá prostredníctvom spáchania útoku odhalí nastavenie Java „log4j2.formatMsgNoLookups = true“, „com.sun.jndi .rmi.objekt. trustURLCodebase = false "a" com.sun.jndi.cosnaming.object.trustURLCodebase = false "na blokovanie ďalších prejavov zraniteľnosti na nekontrolovaných systémoch.