В сети было много разговоров об уязвимости в Log4J, позволяющий злоумышленнику удаленно запускать выполнение произвольного кода если у вас есть возможность отправлять данные в приложение, которое использует библиотеку log4j для регистрации события.
Эта атака можно сделать без аутентификацииНапример, используя страницу аутентификации, которая регистрирует ошибки аутентификации.
Этот недостаток заставил компании, специализирующиеся на кибербезопасности, поработать над событием, и указывает на то, что количество атак, использующих этот недостаток, растет.
Члены Apache Software Foundation разработали патч для исправления уязвимости, и это версия 2.15.0, в дополнение к тому факту, что также были известны возможные решения для снижения рисков.
Что такое Apache Log4j? Насколько серьезна ошибка?
Для тех, кто еще не знает, насколько серьезна проблема, могу вам сказать, что 9 декабря в lв библиотеку log4j Apache.
Эта библиотека широко используется в проектах по разработке приложений Поставщики стандартных программных решений на основе Java / J2EE, а также Java / J2EE.
Лог4дж включает механизм поиска, который можно использовать для запроса через специальный синтаксис в строке формата. Например, его можно использовать для запроса различных параметров, таких как версия среды Java, через $ {java: version} и т. Д.
Затем, указав в строке ключ jndi, механизм поиска использовать JNDI API. По умолчанию все запросы выполняются с префиксом java: comp / env / *; однако авторы реализовали возможность использования настраиваемого префикса, используя двоеточие в ключе.
Вот где кроется уязвимость: sijndi: ldap: // используется в качестве ключа, запрос отправляется на указанный сервер LDAP. Также можно использовать другие протоколы связи, такие как LDAPS, DNS и RMI.
Следовательно, удаленный сервер, управляемый злоумышленником, может вернуть объект уязвимому серверу, что может привести к выполнению произвольного кода в системе или утечке конфиденциальных данных.
Все, что нужно сделать злоумышленнику, - это отправить специальную строку Через механизм, который записывает эту строку в файл журнала и, следовательно, управляется библиотекой Log4j.
Это можно сделать с помощью простых HTTP-запросов, например, отправленных через веб-формы, поля данных и т. Д., Или с помощью любого другого типа взаимодействия с использованием регистрации на стороне сервера.
Tenable охарактеризовал уязвимость как «самую важную и критическую уязвимость последнего десятилетия».
Доказательство концепции уже опубликовано. Эта уязвимость сейчас активно эксплуатируется.
Серьезность уязвимости составляет Максимум 10 по шкале CVSS.
Вот список уязвимых систем:
- Apache Log4j версий от 2.0 до 2.14.1
- Apache Log4j версии 1.x (устаревшие версии) подлежат специальной настройке.
- Продукты, использующие уязвимую версию Apache Log4j - европейские национальные центры сертификации CERT поддерживают полный список продуктов и их статус уязвимости
CERT-FR рекомендует провести тщательный анализ сетевых журналов. Следующие причины могут быть использованы для идентификации попытки использования этой уязвимости при использовании в URL-адресах или определенных заголовках HTTP в качестве агента пользователя.
Наконец, стоит упомянуть, что настоятельно рекомендуется как можно скорее использовать log2.15.0j версии 4.
Однако в случае возникновения трудностей с переходом на эту версию можно временно применить следующие решения:
Для приложений, которые используют версию 2.7.0 и более поздних версий библиотеки log4j, можно защитить от любых атак, изменив формат событий, которые будут регистрироваться, с синтаксисом% m {nolookups} для данных, которые может предоставить пользователь. .
Эта модификация требует изменения файла конфигурации log4j для создания новой версии приложения. Следовательно, перед развертыванием новой версии необходимо повторить этапы технической и функциональной проверки.
Для приложений, использующих версию 2.10.0 и новее библиотеки log4j, также можно защитить от любых атак, изменив параметр конфигурации log4j2.formatMsgNoLo