Hakeri nastavljaju aktivno iskorištavati kritičnu grešku u Log4J

Na internetu se puno pričalo o ranjivosti Log4J koji napadaču omogućuje daljinsko pokretanje proizvoljnog izvršavanja koda ako imate mogućnost slanja podataka aplikaciji koja koristi biblioteku log4j za bilježenje događaja.

Ovaj napad može se učiniti bez provjere autentičnostiNa primjer, korištenjem stranice za provjeru autentičnosti koja bilježi pogreške provjere autentičnosti.

Ovaj nedostatak natjerao je tvrtke specijalizirane za kibernetičku sigurnost da rade na događaju i ukazuje da se broj napada koji iskorištavaju ovu manu povećava.

Članovi Apache Software Foundation razvila je zakrpu kako bi se ispravila ranjivost a radi se o verziji 2.15.0, uz to što su poznata i moguća rješenja za smanjenje rizika.

Što je Apache Log4j? Koliko je ozbiljna greška?

Za one koji još ne znaju koliko je problem ozbiljan, mogu to reći Dana 9. prosinca otkrivena je ranjivost u lza biblioteku snimanja log4j Apache.

Ova knjižnica široko se koristi u projektima razvoja aplikacija Java / J2EE kao i standardni pružatelji softverskih rješenja temeljenih na Javi / J2EE.

log4j uključuje mehanizam pretraživanja koji se može koristiti za postavljanje upita putem posebne sintakse u nizu formata. Na primjer, može se koristiti za traženje različitih parametara kao što je verzija Java okruženja putem $ {java: verzija} itd.

Zatim navedite ključ jndi u nizu, mehanizam pretraživanja koristiti JNDI API. Prema zadanim postavkama, svi zahtjevi se izrađuju s prefiksom java: comp / env / *; međutim, autori su implementirali opciju korištenja prilagođenog prefiksa koristeći dvotočku u ključu.

Ovdje leži ranjivost: sijndi: ldap: // se koristi kao ključ, zahtjev ide na navedeni LDAP poslužitelj. Mogu se koristiti i drugi komunikacijski protokoli kao što su LDAPS, DNS i RMI.

Stoga bi udaljeni poslužitelj koji kontrolira napadač mogao vratiti objekt ranjivom poslužitelju, što bi moglo dovesti do izvršenja proizvoljnog koda na sustavu ili curenja povjerljivih podataka.

Sve što napadač mora učiniti je poslati poseban niz Kroz mehanizam koji upisuje ovaj niz u datoteku dnevnika i stoga njime upravlja biblioteka Log4j.

To se može učiniti jednostavnim HTTP zahtjevima, na primjer onima koji se šalju putem web obrazaca, podatkovnih polja, itd., ili bilo kojom drugom vrstom interakcija pomoću registracije na strani poslužitelja.

Tenable je ranjivost okarakterizirala kao "najvažniju i najkritičniju ranjivost posljednjeg desetljeća".

Dokaz koncepta je već objavljen. Ova se ranjivost sada aktivno iskorištava.

Ozbiljnost ranjivosti je Najviše od 10 na CVSS ljestvici.

Ovdje je popis zahvaćenih sustava:

  • Apache Log4j verzije od 2.0 do 2.14.1
  • Apache Log4j verzije 1.x (zastarjele verzije) podliježu posebnoj konfiguraciji.
  • Proizvodi koji koriste ranjivu verziju Apache Log4j - europski nacionalni CERT-ovi održavaju potpuni popis proizvoda i njihov status ranjivosti

CERT-FR preporučuje provođenje temeljite analize mrežnih dnevnika. Sljedeći se razlozi mogu koristiti za identificiranje pokušaja iskorištavanja ove ranjivosti kada se koristi u URL-ovima ili određenim HTTP zaglavljima kao korisnički agent

Na kraju je vrijedno spomenuti i to preporuča se korištenje log2.15.0j verzije 4 što je prije moguće.

Međutim, u slučaju poteškoća s migracijom na ovu verziju, mogu se privremeno primijeniti sljedeća rješenja:
Za aplikacije koje koriste verziju 2.7.0 i novije biblioteke log4j, moguće je zaštititi se od bilo kakvog napada promjenom formata događaja koji će se bilježiti sintaksom% m {nolookups} za podatke koje bi korisnik dostavio.

Ova izmjena zahtijeva izmjenu log4j konfiguracijske datoteke kako bi se proizvela nova verzija aplikacije. Stoga je potrebno ponoviti korake tehničke i funkcionalne provjere prije implementacije ove nove verzije.

Za aplikacije koje koriste verziju 2.10.0 i novije biblioteke log4j, također je moguće zaštititi se od bilo kakvog napada promjenom konfiguracijskog parametra log4j2.formatMsgNoLo


Budite prvi koji će komentirati

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.