На интернету се много причало о рањивости у Лог4Ј омогућава нападачу да покрене произвољно извршење кода на даљину ако имате могућност да пошаљете податке апликацији која користи библиотеку лог4ј за евидентирање догађаја.
Овај напад може да се уради без провере аутентичности, на пример, коришћењем странице за потврду идентитета која бележи грешке при аутентификацији.
Овај неуспех је натерао компаније специјализоване за сајбер безбедност да раде на догађају и указују на то да се број напада који користе ову ману повећава.
Чланови Апацхе Софтваре Фоундатион је развила закрпу да би могао да исправи рањивост и верзија је 2.15.0, поред могућих решења за смањење ризика су такође најављена.
Шта је Апацхе Лог4ј? Колико је неуспех озбиљан?
За оне који још не знају колико је проблем озбиљан, могу вам рећи 9. децембра откривена је рањивост у лда евидентира библиотеку лог4ј од Апача.
Ова библиотека Широко се користи у пројектима развоја апликација Јава/Ј2ЕЕ, као и добављачи стандардних софтверских решења заснованих на Јава/Ј2ЕЕ.
Лог4ј укључује механизам претраживања који би се могао користити за обављање упита преко посебне синтаксе у стрингу формата. На пример, може се користити за тражење различитих параметара као што је верзија Јава окружења преко ${јава:версион}итд.
Затим наведите јнди кључ у стрингу, механизам тражења користи ЈНДИ АПИ. Подразумевано, сви захтеви имају префикс јава:цомп/енв/*; међутим, аутори су имплементирали опцију коришћења прилагођеног префикса користећи симбол двотачке у кључу.
Овде лежи рањивост: ифјнди:лдап:// се користи као кључ, захтев иде на наведени ЛДАП сервер. Могу се користити и други комуникациони протоколи, као што су ЛДАПС, ДНС и РМИ.
Стога, удаљени сервер који контролише нападач може да врати објекат на рањиви сервер, што може довести до произвољног извршавања кода на систему или цурења осетљивих података.
Све што нападач треба да уради је да пошаље посебан стринг кроз механизам који уписује овај стринг у датотеку евиденције и стога њиме управља библиотека Лог4ј.
Ово се може урадити са једноставним ХТТП захтевима, на пример онима који се шаљу преко веб образаца, поља података, итд., или са било којом другом врстом интеракција помоћу евидентирања на страни сервера.
Тенабле је рањивост окарактерисала као „најважнију и најкритичнију рањивост у последњој деценији“.
Доказ концепта је већ објављен. Ова рањивост се сада активно искоришћава.
Озбиљност рањивости је Највише од 10 на ЦВСС скали.
Ево листе погођених система:
- Апацхе Лог4ј верзије 2.0 до 2.14.1
- Апацхе Лог4ј верзије 1.к (застареле верзије) подлежу посебној конфигурацији.
- Производи који користе рањиву верзију Апацхе Лог4ј: Европски национални ЦЕРТ одржавају комплетну листу производа и њихов статус рањивости
ЦЕРТ-ФР препоручује да се изврши детаљна анализа мрежних евиденција. Следећи разлози се могу користити за идентификацију покушаја да се искористи ова рањивост када се користи у УРЛ-овима или одређеним ХТТП заглављима као кориснички агент
На крају, вреди напоменути да препоручује се коришћење лог2.15.0ј верзије 4 што је пре могуће.
Међутим, у случају потешкоћа при преласку на ову верзију, могу се привремено применити следећа решења:
За апликације које користе верзију 2.7.0 и новије библиотеке лог4ј, могуће је заштитити од било каквог напада модификацијом формата догађаја који ће бити евидентирани синтаксом% м {нолоокупс} за податке које би корисник пружио .
Ова модификација захтева измену лог4ј конфигурационе датотеке да би се произвела нова верзија апликације. Стога, ово захтева поновно извођење корака техничке и функционалне валидације пре примене ове нове верзије.
За апликације које користе библиотеку лог2.10.0ј верзије 4 и новије, такође је могуће заштитити се од било каквих напада променом конфигурационог параметра лог4ј2.форматМсгНоЛо