V zadnjih dneh na netu je bilo veliko govora o ranljivosti Log4j, v katerem so bili odkriti različni vektorji napadov in so bili filtrirani tudi različni funkcionalni izkoriščanji, da bi izkoristili ranljivost.
Resnost zadeve je v tem, da je to priljubljen okvir za organizacijo registra v aplikacijah Java., ki omogoča izvajanje poljubne kode, ko je posebej oblikovana vrednost zapisana v register v obliki "{jndi: URL}". Napad se lahko izvede na aplikacijah Java, ki beležijo vrednosti, pridobljene iz zunanjih virov, na primer s prikazom problematičnih vrednosti v sporočilih o napakah.
In napadalec naredi zahtevo HTTP na ciljnem sistemu, ki ustvari dnevnik z uporabo Log4j 2 Ki uporablja JNDI za zahtevo spletnemu mestu, ki ga nadzoruje napadalec. Ranljivost nato povzroči, da izkoriščeni proces prispe na mesto in izvede koristno obremenitev. Pri številnih opaženih napadih je parameter, ki pripada napadalcu, sistem registracije DNS, namenjen registraciji zahteve na spletnem mestu za identifikacijo ranljivih sistemov.
Kot je že povedal naš kolega Isaac:
Ta ranljivost Log4j omogoča izkoriščanje napačne potrditve vnosa v LDAP, kar omogoča oddaljeno izvajanje kode (RCE) in ogrožanje strežnika (zaupnost, celovitost podatkov in razpoložljivost sistema). Poleg tega je težava ali pomen te ranljivosti v številu aplikacij in strežnikov, ki jo uporabljajo, vključno s poslovno programsko opremo in storitvami v oblaku, kot so Apple iCloud, Steam, ali priljubljene video igre, kot so Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash in long itd.
Ko že govorim o tej zadevi, pred kratkim izdala Apache Software Foundation skozi objava povzetek projektov, ki obravnavajo kritično ranljivost v Log4j 2 ki omogoča izvajanje poljubne kode na strežniku.
Prizadeti so naslednji projekti Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl in Calcite Avatica. Ranljivost je prizadela tudi izdelke GitHub, vključno z GitHub.com, GitHub Enterprise Cloud in GitHub Enterprise Server.
V zadnjih dneh je prišlo do občutnega povečanja dejavnosti v zvezi z izkoriščanjem ranljivosti. na primer Check Point je na svojih izmišljenih strežnikih prijavil približno 100 poskusov izkoriščanja na minuto dosegel vrhunec, Sophos pa je napovedal odkritje novega botneta za rudarjenje kriptovalut, oblikovanega iz sistemov z nepokrpano ranljivostjo v Log4j 2.
Glede informacij, ki so bile objavljene o težavi:
- Ranljivost je bila potrjena v številnih uradnih slikah Dockerja, vključno s slikami couchbase, elasticsearch, flink, solr, storm itd.
- Ranljivost je prisotna v izdelku MongoDB Atlas Search.
- Težava se pojavlja v različnih Ciscovih izdelkih, vključno s strežnikom Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- Napredno poročanje o spletni varnosti, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks itd.
- Težava je prisotna v strežniku IBM WebSphere Application Server in v naslednjih izdelkih Red Hat: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse in AMQ Streams.
- Potrjena težava v platformi za upravljanje vesoljske mreže Junos, krmilniku / načrtovalcu Northstar, Paragon Insights / Pathfinder / načrtovalcu.
- Prizadeti so tudi številni izdelki Oracle, vmWare, Broadcom in Amazon.
Projekti Apache, na katere ranljivost Log4j 2 ne vpliva: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper in CloudStack.
Uporabnikom problematičnih paketov svetujemo, naj nujno namestijo izdane posodobitve za njih ločeno posodobite različico Log4j 2 ali nastavite parameter Log4j2.formatMsgNoLookups na true (na primer, ob zagonu dodate ključ "-DLog4j2.formatMsgNoLookup = True").
Za zaklepanje sistema, do katerega ni neposrednega dostopa, je bilo predlagano izkoriščanje cepiva Logout4Shell, ki z napadom izpostavi nastavitev Java "log4j2.formatMsgNoLookups = true", "com.sun.jndi .rmi.predmet. trustURLCodebase = false "in" com.sun.jndi.cosnaming.object.trustURLCodebase = false "za blokiranje nadaljnjih manifestacij ranljivosti v nenadzorovanih sistemih.