Paljud Java-põhised rakendused ja serverid on uue Log4Shelli ärakasutamise suhtes haavatavad

14

Miks see on oluline? Selle nädala alguses avastasid avatud lähtekoodiga turbeplatvormi LunaSec arendajad nullpäeva haavatavuse, mis mõjutab laialdaselt kasutatavat Java-põhist logiraamatukogu. Haavatavus, mis on blogipostituses identifitseeritud kui Log4Shell (CVE-2021-44228), võib anda kolmandatele osapooltele võimaluse käivitada haavatavates süsteemides pahatahtlikku koodi.

Haavatavuse avastamist tunnustavad LunaSeci ja Alibaba Cloud Security Chen Zhaojuni teadlased . See kasutab laialdaselt kasutatavat Apache-põhist logimisutiliiti log4j, et logida serveri andmeid pahatahtlike kasulike koormustega, mis käivitavad rea toiminguid sekundaarse kasuliku koormuse sisestamiseks. Teisene kasulik koormus võimaldab mõjutatud süsteemis koodi kaugkäivitada.

Algselt Minecrafti serverites avastatud haavatavuse tuvastamise eest vastutavad teadlased usuvad, et Apache-põhise logimisteenuse laialdase kasutamise tõttu võivad ohus olla sajad tuhanded ettevõtted ja süsteemid. Analüütikud on juba tuvastanud haavatavatena mitu suurt ettevõtet ja teenust, sealhulgas Amazon, Apple, Elastic, Steam, Tencent ja Twitter. Riikliku Julgeolekuagentuuri küberjulgeoleku direktor Robert Joyce kinnitas samuti, et mõjutatud oli ka agentuuri avatud lähtekoodiga pöördprojekteerimise tööriist GHIDRA .

LunaSec märgib, et kõik, kes kasutavad Apache Strutsi raamistikku, on tõenäoliselt haavatavad. Hilisem värskendus laiendas avaldust, mis näitab, et rünnaku LDAP-põhine vektor ei mõjuta JDK versioone, mis on suuremad kui 6u211, 7u201, 8u191 ja 11.01. See aga ei tähenda, et hilisemad versioonid oleksid täiesti immuunsed, kuna Log4Shelli haavatavuse ärakasutamiseks võidakse siiski kasutada alternatiivseid ründevektoreid, et algatada koodi kaugkäivitus.

LunaSeci leid ja sellest tulenev CVE pakuvad mõjutatud süsteemidele ajutisi ja püsivaid leevendusmeetmeid tagamaks, et ärakasutamine ei mõjuta negatiivselt nende servereid ja toiminguid. Teenuse log4j värskendatud versioon, v2.15.0, parandas ärakasutamise ja on tehtud allalaadimiseks kättesaadavaks. CVE-s on ajutisi leevendusi ette nähtud ka organisatsioonidele, kes ei saa praegu oma log4j-teenust uuendada.

Pildi krediit: Markus Spiske

See veebisait kasutab teie kasutuskogemuse parandamiseks küpsiseid. Eeldame, et olete sellega rahul, kuid saate soovi korral loobuda. Nõustu Loe rohkem