Gjatë ditëve të fundit në rrjet është folur shumë për dobësinë e Log4j në të cilin janë zbuluar vektorë të ndryshëm sulmi dhe gjithashtu janë filtruar shfrytëzime të ndryshme funksionale për të shfrytëzuar cenueshmërinë.
Serioziteti i çështjes është se ky është një kornizë popullore për organizimin e regjistrit në aplikacionet Java., i cili lejon ekzekutimin e kodit arbitrar kur një vlerë e formatuar posaçërisht shkruhet në regjistër në formatin "{jndi: URL}". Sulmi mund të kryhet në aplikacionet Java që regjistrojnë vlerat e marra nga burime të jashtme, për shembull duke shfaqur vlera problematike në mesazhet e gabimit.
Dhe kjo një sulmues bën një kërkesë HTTP në një sistem objektiv, i cili gjeneron një regjistër duke përdorur Log4j 2 E cila përdor JNDI për të bërë një kërkesë në faqen e kontrolluar nga sulmuesi. Dobësia më pas bën që procesi i shfrytëzuar të arrijë në vend dhe të ekzekutojë ngarkesën. Në shumë sulme të vëzhguara, parametri që i përket sulmuesit është një sistem regjistrimi DNS, i destinuar për të regjistruar një kërkesë në faqe për të identifikuar sistemet e cenueshme.
Siç ndau tashmë kolegu ynë Isaac:
Kjo dobësi e Log4j lejon shfrytëzimin e një verifikimi të gabuar të hyrjes në LDAP, duke lejuar ekzekutimi i kodit në distancë (RCE) dhe komprometimi i serverit (konfidencialiteti, integriteti i të dhënave dhe disponueshmëria e sistemit). Për më tepër, problemi ose rëndësia e kësaj dobësie qëndron në numrin e aplikacioneve dhe serverëve që e përdorin atë, duke përfshirë softuerin e biznesit dhe shërbimet cloud si Apple iCloud, Steam ose lojërat e njohura video si Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash, dhe një të gjatë etj.
Duke folur për këtë çështje, kohët e fundit u lëshua nga Apache Software Foundation Mediante një postim një përmbledhje e projekteve që trajtojnë një cenueshmëri kritike në Log4j 2 i cili lejon që kodi arbitrar të ekzekutohet në server.
Projektet e mëposhtme Apache janë prekur: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl dhe Calcite Avatica. Dobësia preku gjithashtu produktet GitHub, duke përfshirë GitHub.com, GitHub Enterprise Cloud dhe GitHub Enterprise Server.
Ditët e fundit ka një rritje të ndjeshme të aktivitetit që lidhet me shfrytëzimin e cenueshmërisë. Për shembull, Check Point regjistroi rreth 100 përpjekje shfrytëzimi në minutë në serverët e tij fiktive në kulmin e tij dhe Sophos njoftoi zbulimin e një botneti të ri të minierave të kriptomonedhave, i formuar nga sisteme me një cenueshmëri të papatchuar në Log4j 2.
Në lidhje me informacionin që është publikuar për problemin:
- Dobësia është konfirmuar në shumë imazhe zyrtare të Docker, duke përfshirë couchbase, elasticsearch, flink, solr, imazhe stuhi, etj.
- Dobësia është e pranishme në produktin MongoDB Atlas Search.
- Problemi shfaqet në një shumëllojshmëri produktesh Cisco, duke përfshirë Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- Raportimi i avancuar i sigurisë në ueb, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks, etj.
- Problemi është i pranishëm në IBM WebSphere Application Server dhe në produktet e mëposhtme të Red Hat: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse dhe AMQ Streams.
- Çështja e konfirmuar në Platformën e Menaxhimit të Rrjetit Hapësinor Junos, Controller / Planner Northstar, Paragon Insights / Pathfinder / Planner.
- Shumë produkte nga Oracle, vmWare, Broadcom dhe Amazon janë gjithashtu të prekura.
Projektet Apache që nuk preken nga dobësia Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper dhe CloudStack.
Përdoruesit e paketave problematike këshillohen që të instalojnë urgjentisht përditësimet e lëshuara për ta, përditësoni veçmas versionin e Log4j 2 ose vendosni parametrin Log4j2.formatMsgNoLookups në true (për shembull, duke shtuar çelësin "-DLog4j2.formatMsgNoLookup = E vërtetë" në fillim).
Për të bllokuar sistemin është vulnerabël ndaj të cilit nuk ka akses të drejtpërdrejtë, u sugjerua shfrytëzimi i vaksinës Logout4Shell, e cila, nëpërmjet kryerjes së një sulmi, ekspozon cilësimin Java "log4j2.formatMsgNoLookups = true", "com.sun.jndi .rmi.objekt. trustURLCodebase = false "dhe" com.sun.jndi.cosnaming.object.trustURLCodebase = false "për të bllokuar manifestimet e mëtejshme të cenueshmërisë në sistemet e pakontrolluara.