Log4J-korjauksessa vakavan nollapäivän korjaamiseksi on oma haavoittuvuus, jota käytetään jo aktiivisesti

Facepalm: Log4J-hyökkäämiset, jotka ovat vaivanneet palvelimen järjestelmänvalvojia viimeisen viikon ajan, jatkuvat, koska tunkeutumisen estävässä korjaustiedostossa näyttää olevan omia tietoturvapuutteita. Jotkut yritykset, jotka olivat jo päivittäneet Log4J 2.15.0:aan, ovat edelleen kärsineet hyökkäyksistä ainakin yhdestä kahdesta löydetystä uudesta heikkoudesta.

Viime viikolla tietoturvatutkijat ilmoittivat kehittäjille, että he olivat havainneet aktiivisesti hyödynnetyn nollapäivän haavoittuvuuden Apache Struts -kehyksestä. Vika oli Log4J-lokityökalussa. Apache Foundation julkaisi korjauksen version 2.15.0 kanssa ja julkisti heikkouden viikonloppuna.

Päivityksen julkaisemisen jälkeen 72 tunnin aikana vian hyödyntäminen kiihtyi, ja tutkijat seurasivat jopa 100 hyökkäystä minuutissa ja yhteensä lähes miljoona tapausta. Suuret yritykset, kuten Apple, Amazon, Cisco ja muut, pyrkivät korjaamaan aukon.

Melkein yhtä nopeasti kuin järjestelmät asensivat Log4J 2.15.0:aa, turvallisuusyritykset Praetorian ja Cloudflare alkoivat nähdä aktiivisia hyökkäyksiä korjatuissa järjestelmissä. Tutkijat havaitsivat ainakin kaksi hyväksikäyttöä uudessa haavoittuvuudessa, joka jäljitettiin nimellä CVE-2021-45046.

Yksi tiistaina löydetty heikkous antoi hakkereille mahdollisuuden suorittaa DDoS-hyökkäyksiä manipuloimalla "viestien hakumalleja" ja "JNDI-toimintoja". Apache on nyt poistanut nämä oletusarvoisesti käytöstä Log4J 2.16.0:ssa.

Sitten keskiviikkona pretorialaiset analyytikot löysivät toisen hyväksikäytön, jonka avulla hakkerit voisivat suodattaa tietoja haavoittuvilta palvelimilta. Praetorian julkaisi todisteen käsitteestä videon, joka havainnollistaa suodattamista Log4J 2.15.0:ssa (yllä). Päivitys 2.16.0 huolehtii myös tästä.

"Olemme tutkimuksessamme osoittaneet, että 2.15.0 voi silti sallia arkaluontoisten tietojen suodattamisen tietyissä olosuhteissa", huomautti Praetorian varoitessaan päivittää välittömästi. "Olemme välittäneet ongelman tekniset tiedot Apache Foundationille, mutta sillä välin suosittelemme, että asiakkaat päivittävät versioon 2.16.0 mahdollisimman nopeasti."

Tietoturvayritys Cloudflare kertoi keskiviikkona, että se seuraa CVE-2021-45046:ta ja on jo nähnyt virheen aktiivisen hyväksikäytön, mutta ei maininnut, olivatko hyökkäykset DDoS, tietojen suodatus vai molemmat. Se myös suosittelee järjestelmänvalvojia päivittämään Log4J 2.16.0 -versioon ASAP.

Molemmat yritykset pitävät teknisiä yksityiskohtia salassa, kun alan työntekijät päivittävät järjestelmiään.