ในช่วงวันสุดท้าย ในเน็ตมีการพูดคุยกันมากมายเกี่ยวกับช่องโหว่ของ Log4j ซึ่งมีการค้นพบเวกเตอร์การโจมตีที่หลากหลายและมีการกรองการหาประโยชน์จากการทำงานต่าง ๆ เพื่อใช้ประโยชน์จากช่องโหว่
ประเด็นสำคัญคือ นี่เป็นเฟรมเวิร์กยอดนิยมสำหรับการจัดระเบียบรีจิสทรีในแอปพลิเคชัน Javaซึ่งอนุญาตให้ใช้รหัสที่กำหนดเองได้เมื่อมีการเขียนค่าที่มีรูปแบบพิเศษลงในรีจิสทรีในรูปแบบ "{jndi: URL}" การโจมตีสามารถทำได้บนแอปพลิเคชัน Java ที่บันทึกค่าที่ได้รับจากแหล่งภายนอก เช่น โดยแสดงค่าที่เป็นปัญหาในข้อความแสดงข้อผิดพลาด
และนั่นก็คือ ผู้โจมตีส่งคำขอ HTTP บนระบบเป้าหมาย ซึ่งสร้างบันทึกโดยใช้ Log4j 2 ซึ่งใช้ JNDI เพื่อส่งคำขอไปยังไซต์ที่ควบคุมโดยผู้โจมตี ช่องโหว่ดังกล่าวทำให้กระบวนการที่ถูกโจมตีมาถึงไซต์และดำเนินการเพย์โหลด ในการโจมตีที่สังเกตพบจำนวนมาก พารามิเตอร์ที่เป็นของผู้โจมตีคือระบบการลงทะเบียน DNS ซึ่งมีวัตถุประสงค์เพื่อลงทะเบียนคำขอบนเว็บไซต์เพื่อระบุระบบที่มีช่องโหว่
ตามที่เพื่อนร่วมงานของเรา Isaac แบ่งปันแล้ว:
ช่องโหว่ของ Log4j นี้ทำให้สามารถใช้ประโยชน์จากการตรวจสอบความถูกต้องอินพุตที่ไม่ถูกต้องไปยัง LDAP ได้ ทำให้ การเรียกใช้โค้ดจากระยะไกล (RCE) และการประนีประนอมเซิร์ฟเวอร์ (การรักษาความลับ ความสมบูรณ์ของข้อมูล และความพร้อมใช้งานของระบบ) นอกจากนี้ ปัญหาหรือความสำคัญของช่องโหว่นี้อยู่ในจำนวนแอปพลิเคชันและเซิร์ฟเวอร์ที่ใช้งาน รวมถึงซอฟต์แวร์ธุรกิจและบริการคลาวด์ เช่น Apple iCloud, Steam หรือวิดีโอเกมยอดนิยม เช่น Minecraft: Java Edition, Twitter, Cloudflare, Tencent , ElasticSearch, Redis, Elastic Logstash และอื่นๆ
เมื่อเร็วๆ นี้ เปิดตัว Apache Software Foundation ตลอด โพสต์ สรุปโครงการที่แก้ไขช่องโหว่ที่สำคัญใน Log4j 2 ซึ่งช่วยให้รหัสที่กำหนดเองทำงานบนเซิร์ฟเวอร์ได้
โปรเจ็กต์ Apache ต่อไปนี้ได้รับผลกระทบ: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl และ Calcite Avatica ช่องโหว่ดังกล่าวยังส่งผลกระทบต่อผลิตภัณฑ์ GitHub อีกด้วย เช่น GitHub.com, GitHub Enterprise Cloud และ GitHub Enterprise Server
ในช่วงไม่กี่วันที่ผ่านมามีการเพิ่มขึ้นอย่างมาก ของกิจกรรมที่เกี่ยวข้องกับการแสวงหาประโยชน์จากจุดอ่อน ตัวอย่างเช่น, Check Point บันทึกการพยายามหาช่องโหว่ประมาณ 100 ครั้งต่อนาทีบนเซิร์ฟเวอร์ที่สมมติขึ้นใน จุดสูงสุด และ Sophos ได้ประกาศการค้นพบ botnet การขุด cryptocurrency ใหม่ ซึ่งเกิดขึ้นจากระบบที่มีช่องโหว่ที่ไม่ได้รับการแก้ไขใน Log4j 2
เกี่ยวกับข้อมูลที่เผยแพร่เกี่ยวกับปัญหา:
- ช่องโหว่นี้ได้รับการยืนยันแล้วในอิมเมจ Docker อย่างเป็นทางการจำนวนมาก รวมถึง couchbase, elasticsearch, flink, solr, storm images เป็นต้น
- ช่องโหว่นี้มีอยู่ในผลิตภัณฑ์ MongoDB Atlas Search
- ปัญหาปรากฏในผลิตภัณฑ์ต่างๆ ของ Cisco รวมถึง Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- การรายงานการรักษาความปลอดภัยเว็บขั้นสูง, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco BroadWorks เป็นต้น
- ปัญหามีอยู่ใน IBM WebSphere Application Server และในผลิตภัณฑ์ Red Hat ต่อไปนี้: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse และ AMQ Streams
- ปัญหาที่ยืนยันแล้วใน Junos Space Network Management Platform, Northstar Controller / Planner, Paragon Insights / Pathfinder / Planner
- ผลิตภัณฑ์จำนวนมากจาก Oracle, vmWare, Broadcom และ Amazon ก็ได้รับผลกระทบเช่นกัน
โครงการ Apache ที่ไม่ได้รับผลกระทบจากช่องโหว่ Log4j 2 ได้แก่ Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper และ CloudStack
ขอแนะนำให้ผู้ใช้แพ็คเกจที่มีปัญหาติดตั้งการอัปเดตที่เผยแพร่โดยด่วน สำหรับพวกเขา ให้อัปเดตเวอร์ชันของ Log4j 2 แยกกัน หรือตั้งค่าพารามิเตอร์ Log4j2.formatMsgNoLookups ให้เป็นจริง (เช่น เพิ่มคีย์ "-DLog4j2.formatMsgNoLookup = True" เมื่อเริ่มต้น)
ในการล็อกระบบมีความเสี่ยงซึ่งไม่มีการเข้าถึงโดยตรง ขอแนะนำให้ใช้ประโยชน์จากวัคซีน Logout4Shell ซึ่งเปิดการตั้งค่า Java "log4j2.formatMsgNoLookups = true", "com.sun.jndi" โดยผ่านการโจมตี .rmi.object trustURLCodebase = false "และ" com.sun.jndi.cosnaming.object.trustURLCodebase = false "เพื่อบล็อกการแสดงช่องโหว่เพิ่มเติมในระบบที่ไม่มีการควบคุม