CISA'nın direktörü, Jen Easterly, Log4j'nin güvenlik açığının gördüğü en kötü şey olduğunu söylüyor onun taşıyıcısında ve güvenlik uzmanları sonuçlarıyla yüzleşecek uzun süre hatadan.
Yamasız bırakılırsa Java Apache Log4j günlük kitaplığında bir ay önce keşfedilen ana güvenlik açığı İnternetin büyük sektörleri için risk teşkil ediyor, Bilgisayar korsanları, bilgisayar sunucularını ele geçirmek için yaygın olarak kullanılan yazılımların güvenlik açığından yararlanarak tüketici elektroniğinden hükümet ve kurumsal sistemlere kadar her şeyi bir siber saldırı riski altına sokabilir.
9 Aralık'ta keşfedildi Apache log4j günlük kitaplığındaki bir güvenlik açığı. Bu kitaplık, Java / J2EE uygulama geliştirme projelerinde ve ayrıca standart Java / J2EE tabanlı yazılım çözümleri sağlayıcıları tarafından yaygın olarak kullanılmaktadır.
Log4j, sorgulamak için kullanılabilecek bir arama mekanizması içerir bir biçim dizesindeki özel sözdizimi aracılığıyla. Varsayılan olarak, tüm istekler Java önekiyle yapılır: comp / env / *; ama yine de, yazarlar özel bir önek kullanma seçeneğini uyguladı nota anahtarında iki nokta üst üste sembolü kullanarak. Güvenlik açığı burada yatıyor: jndi: ldap: // anahtar olarak kullanılıyorsa, istek belirtilen LDAP sunucusuna gider. LDAPS, DNS ve RMI gibi diğer iletişim protokolleri de kullanılabilir.
Bu yüzden, bir saldırgan tarafından kontrol edilen uzak bir sunucu, bir nesneyi savunmasız bir sunucuya döndürebilir, bu, sistemde rastgele kod yürütülmesine veya gizli veri sızıntısına neden olabilir. Saldırganın tek yapması gereken, bu dizeyi bir günlük dosyasına yazan mekanizma aracılığıyla özel bir dize göndermektir ve bu nedenle Log4j kitaplığı tarafından yönetilir.
Bu, örneğin web formları, veri alanları vb. aracılığıyla gönderilenler gibi basit HTTP istekleriyle veya sunucu tarafı kayıt defterini kullanan diğer türdeki etkileşimlerle yapılabilir.
- Sürüm 2.15.0, uzak bir saldırganın JNDI arama modeli kullanarak kötü amaçlı bir giriş hazırlamak için İş Parçacığı Bağlam Haritasını (MDC) denetlemesine izin veren başka bir sorunu, CVE-2021-45046'yı çözmedi. Sonuç, neyse ki tüm ortamlarda değil, uzaktan kod yürütme olabilir.
- Sürüm 2.16.0 bu sorunu düzeltti. Ancak Apache Software Foundation'ın şu şekilde tanımladığı CVE-2021-45105'i düzeltmedi:
“Apache Log2.0j1 2.16.0-alpha4 ila 2 sürümleri, kendi kendine referans aramalarının kontrolsüz tekrarına karşı koruma sağlamadı. Kayıt defteri yapılandırması, bağlam aramalı varsayılandan farklı bir şablon düzeni kullandığında (örneğin, $$ {ctx: loginId}), Thread Context Map (MDC) giriş verilerini kontrol eden saldırganlar, oturum açma verileri oluşturabilir. . , işlemi sonlandıracak bir StackOverflowError oluşturur. Bu aynı zamanda hizmet reddi (DOS) saldırısı olarak da bilinir.
Satıcıdan bağımsız hata ödül programı Zero Day Initiative, kusuru şu şekilde açıkladı:
“İç içe yerleştirilmiş bir değişken StrSubstitutor sınıfıyla değiştirildiğinde, ikame sınıfını () yinelemeli olarak çağırır. Ancak, iç içe değişken, değiştirilecek değişkene atıfta bulunduğunda, aynı dize ile özyineleme çağrılır. Bu durum sunucuda sonsuz özyinelemeye ve DoS durumuna yol açmaktadır”.
Başka bir kritik uzaktan kod yürütme hatası artık şu şekilde izleniyor: CVE-2021-44832, aynı Apache Log4j günlük kitaplığında keşfedildi. Bu, Log4j kitaplığındaki dördüncü güvenlik açığıdır.
CVSS ölçeğinde 6,6 puanla "orta" olarak derecelendirilen güvenlik açığı, log4j'de JDNI erişimi üzerinde ek kontrollerin olmamasından kaynaklanmaktadır.
Apache güvenlik ekibi, Apache Log4J'nin başka bir sürümünü yayınladı (sürüm 2.17.1), yakın zamanda keşfedilen uzaktan kod yürütme hatası CVE-2021-44832'yi düzeltir. Bu, çoğu kullanıcı için başka bir kötü durumdur, ancak yine de bu kritik sorunu çözmek için sisteminizi güncellemeniz şiddetle tavsiye edilir.
Hiçbir ABD federal kurumu tehlikeye atılmadı Güvenlik açığı nedeniyle, Jen Easterly gazetecilere yaptığı bir telefon görüşmesinde söyledi. Ek olarak, birçok saldırı bildirilmemesine rağmen, Amerika Birleşik Devletleri'nde hatayla ilgili büyük bir siber saldırı bildirilmediğini söyledi.
Easterly, güvenlik açığının kapsamını, İnternete bağlı on milyonlarca cihazı etkileyen, bunu kariyerinde gördüğü en kötü şey yapar. Saldırganların zamanlarını bekleyebileceğini ve şirketlerin ve diğerlerinin saldırmadan önce savunmalarını düşürmelerini bekleyebileceğini söyledi.
Easterly, "Log4Shell'in gelecekte izinsiz girişler için kullanılacağını umuyoruz" dedi. Yaklaşık 2017 milyon Amerikalı'nın kişisel bilgilerini tehlikeye atan 150'deki Equifax veri ihlalinin, açık kaynaklı yazılımdaki bir güvenlik açığından kaynaklandığını kaydetti.
Şimdiye kadar, hatadan yararlanma girişimlerinin çoğu, düşük seviyeli kripto para madenciliğine veya cihazları botnet'lere çekme girişimlerine odaklandı.
kaynak: https://www.cnet.com
Aşırı mühendislik yüzünden. Her bileşen sadece bir şey yapmalı ve onu iyi yapmalıdır. Ancak geliştiricilerin katmanları ve daha fazla katmanları ve gereksiz işlevleri yerleştirmek gibi kötü bir alışkanlığı var, bu da onu daha karmaşık hale getirmeyen ve bu tür arızalara eğilimli .. Dedim ..