Son günlerde internette Log4'ün güvenlik açığı hakkında çok şey konuşulduGüvenlik açığından yararlanmak için çeşitli saldırı vektörlerinin keşfedildiği ve çeşitli işlevsel istismarların da filtrelendiği j.
İşin ciddiyeti, bunun Java uygulamalarında kayıt defterini düzenlemek için popüler bir çerçeve olmasıdır., kayıt defterine "{jndi: URL}" biçiminde özel olarak biçimlendirilmiş bir değer yazıldığında rasgele kodun yürütülmesine izin verir. Saldırı, örneğin hata mesajlarında sorunlu değerleri görüntüleyerek, harici kaynaklardan elde edilen değerleri loglayan Java uygulamaları üzerinde gerçekleştirilebilir.
Ve bir saldırgan, Log4j 2 kullanarak bir günlük oluşturan hedef sistemde bir HTTP isteği yapar Saldırgan kontrollü siteye istekte bulunmak için JNDI kullanır. Güvenlik açığı daha sonra yararlanılan işlemin siteye ulaşmasına ve yükü yürütmesine neden olur. Gözlenen birçok saldırıda, saldırgana ait olan parametre, savunmasız sistemleri belirlemek için siteye bir istek kaydetmeyi amaçlayan bir DNS kayıt sistemidir.
Meslektaşımız Isaac'in daha önce paylaştığı gibi:
Log4j'nin bu güvenlik açığı, LDAP için yanlış bir giriş doğrulamasından yararlanmaya izin vererek uzaktan kod yürütme (RCE) ve sunucudan ödün verilmesi (gizlilik, veri bütünlüğü ve sistem kullanılabilirliği). Ayrıca, bu güvenlik açığının sorunu veya önemi, Apple iCloud, Steam gibi iş yazılımları ve bulut hizmetleri veya Minecraft: Java Edition, Twitter, Cloudflare gibi popüler video oyunları dahil olmak üzere onu kullanan uygulama ve sunucuların sayısında yatmaktadır. Tencent , ElasticSearch, Redis, Elastic Logstash ve uzun vb.
Geçenlerde konu hakkında konuşurken Apache Yazılım Vakfı yayınlandı içinden bir gönderi Log4j 2'deki kritik bir güvenlik açığını ele alan projelerin bir özeti bu, sunucuda rastgele kodun çalışmasına izin verir.
Aşağıdaki Apache projeleri etkilenir: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl ve Calcite Avacica. Güvenlik açığı GitHub.com, GitHub Enterprise Cloud ve GitHub Enterprise Server dahil GitHub ürünlerini de etkiledi.
Son günlerde ciddi bir artış var güvenlik açığından yararlanma ile ilgili faaliyetin Örneğin, Check Point, şu anda hayali sunucularında dakikada yaklaşık 100 istismar girişimi kaydetti. Sophos, Log4j 2'de yama uygulanmamış bir güvenlik açığına sahip sistemlerden oluşan yeni bir kripto para madenciliği botnetinin keşfedildiğini duyurdu.
Sorunla ilgili yayınlanan bilgilerle ilgili olarak:
- Güvenlik açığı, kanepe tabanı, elastik arama, flink, solr, fırtına görüntüleri vb. dahil olmak üzere birçok resmi Docker görüntüsünde onaylandı.
- Güvenlik açığı, MongoDB Atlas Search ürününde mevcuttur.
- Sorun, Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco dahil olmak üzere çeşitli Cisco ürünlerinde görünüyor
- Gelişmiş Web Güvenliği Raporlaması, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks, vb.
- Sorun, IBM WebSphere Application Server'da ve aşağıdaki Red Hat ürünlerinde mevcuttur: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse ve AMQ Streams.
- Junos Space Network Management Platform, Northstar Controller/Planner, Paragon Insights/Pathfinder/Planner'da onaylanan sorun.
- Oracle, vmWare, Broadcom ve Amazon'dan birçok ürün de etkileniyor.
Log4j 2 güvenlik açığından etkilenmeyen Apache projeleri: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper ve CloudStack.
Sorunlu paketlerin kullanıcılarının, yayınlanan güncellemeleri acilen yüklemeleri önerilir. onlar için Log4j 2 sürümünü ayrı olarak güncelleyin veya Log4j2.formatMsgNoLookups parametresini true olarak ayarlayın (örneğin, başlangıçta "-DLog4j2.formatMsgNoLookup = True" anahtarını ekleyerek).
Doğrudan erişimin olmadığı savunmasız bir sistemi kilitlemek için, bir saldırı komisyonu aracılığıyla Java ayarını "log4j4.formatMsgNoLookps = true", "com.sun.jndi ortaya çıkaran Logout2Shell aşısının kullanılması önerildi. .rmi.nesne. TrustURLCodebase = false "ve" com.sun.jndi.cosnaming.object.trustURLCodebase = false "denetlenmeyen sistemlerde güvenlik açığının daha fazla tezahürünü engellemek için.