Na nete sa veľa hovorilo o zraniteľnosti v Log4J, ktorý umožňuje útočníkovi spustiť ľubovoľné spustenie kódu na diaľku ak máte možnosť odosielať údaje do aplikácie, ktorá používa knižnicu log4j na zaznamenávanie udalosti.
Tento útok možno vykonať bez overeniaNapríklad využitím overovacej stránky, ktorá zaznamenáva chyby overenia.
Táto chyba prinútila spoločnosti špecializujúce sa na kybernetickú bezpečnosť pracovať na tejto udalosti a naznačuje, že počet útokov, ktoré využívajú túto chybu, sa zvyšuje.
Členovia Apache Software Foundation vyvinuli opravu za účelom nápravy zraniteľnosti a ide o verziu 2.15.0, okrem toho, že boli oboznámené aj možné riešenia na zníženie rizík.
Čo je Apache Log4j? Aká vážna je chyba?
Pre tých, ktorí stále nevedia, aký vážny je problém, môžem povedať, že 9. decembra bola objavená zraniteľnosť v ldo knižnice záznamov log4j Apache.
Táto knižnica široko používané v projektoch vývoja aplikácií Java / J2EE, ako aj štandardní poskytovatelia softvérových riešení na báze Java / J2EE.
log4j obsahuje vyhľadávací mechanizmus, ktorý možno použiť na vyhľadávanie prostredníctvom špeciálnej syntaxe vo formátovacom reťazci. Môže sa napríklad použiť na vyžiadanie rôznych parametrov, ako je napríklad verzia prostredia Java cez $ {java: verzia} atď.
Potom zadanie kľúča jndi v reťazci, mechanizmus vyhľadávania použite JNDI API. Štandardne sa všetky požiadavky uskutočňujú s predponou java: comp / env / *; autori však implementovali možnosť použiť vlastnú predponu pomocou dvojbodky v kľúči.
Toto je miesto, kde sa nachádza zraniteľnosť: sijndi: ldap: // sa používa ako kľúč, požiadavka smeruje na špecifikovaný server LDAP. Môžu sa použiť aj iné komunikačné protokoly ako LDAPS, DNS a RMI.
Vzdialený server ovládaný útočníkom by preto mohol vrátiť objekt na zraniteľný server, čo by mohlo viesť k spusteniu ľubovoľného kódu v systéme alebo úniku dôverných údajov.
Jediné, čo musí útočník urobiť, je poslať špeciálny reťazec Prostredníctvom mechanizmu, ktorý zapisuje tento reťazec do log súboru, a preto ho spravuje knižnica Log4j.
Dá sa to urobiť jednoduchými požiadavkami HTTP, napríklad žiadosťami odoslanými cez webové formuláre, dátové polia atď., alebo akýmkoľvek iným typom interakcie pomocou registrácie na strane servera.
Tenable charakterizoval túto zraniteľnosť ako „najdôležitejšiu a najkritickejšiu zraniteľnosť za posledné desaťročie“.
Dôkaz koncepcie už bol zverejnený. Táto zraniteľnosť sa teraz aktívne využíva.
Závažnosť zraniteľnosti je Maximálne 10 na stupnici CVSS.
Tu je zoznam ovplyvnených systémov:
- Apache Log4j verzie 2.0 až 2.14.1
- Apache Log4j verzie 1.x (zastarané verzie) podliehajú špeciálnej konfigurácii.
- Produkty používajúce zraniteľnú verziu Apache Log4j – európske národné certifikáty uchovávajú úplný zoznam produktov a ich stav zraniteľnosti
CERT-FR odporúča vykonať dôkladnú analýzu sieťových protokolov. Nasledujúce dôvody možno použiť na identifikáciu pokusu o zneužitie tejto zraniteľnosti pri použití v adresách URL alebo určitých hlavičkách HTTP ako používateľský agent
Nakoniec to stojí za zmienku dôrazne sa odporúča použiť log2.15.0j verziu 4 čo najskôr.
V prípade ťažkostí s prechodom na túto verziu je však možné dočasne použiť nasledujúce riešenia:
Pre aplikácie používajúce knižnicu log2.7.0j verzie 4 a novšie je možné chrániť sa pred akýmkoľvek útokom úpravou formátu udalostí, ktoré sa budú zaznamenávať, so syntaxou % m {nolookups} pre údaje, ktoré poskytne používateľ.
Táto úprava vyžaduje úpravu konfiguračného súboru log4j, aby sa vytvorila nová verzia aplikácie. Preto si to pred nasadením tejto novej verzie vyžaduje opätovné vykonanie technických a funkčných overovacích krokov.
Pre aplikácie využívajúce knižnicu log2.10.0j verzie 4 a novšej je tiež možné chrániť sa pred akýmkoľvek útokom zmenou konfiguračného parametra log4j2.formatMsgNoLo