Monet Java-pohjaiset sovellukset ja palvelimet ovat alttiina uudelle Log4Shell-hyödynnälle

15

Miksi sillä on merkitystä: Aiemmin tällä viikolla avoimen lähdekoodin suojausalustan LunaSec kehittäjät löysivät nollapäivän haavoittuvuuden, joka vaikuttaa laajalti käytettyyn Java-pohjaiseen lokikirjastoon. Haavoittuvuus, joka tunnistetaan blogitekstissä nimellä Log4Shell (CVE-2021-44228), voi antaa kolmansille osapuolille mahdollisuuden suorittaa haitallista koodia haavoittuvissa järjestelmissä.

Haavoittuvuuden löydöstä antavat LunaSecin ja Alibaba Cloud Securityn Chen Zhaojunin tutkijat. Se hyödyntää laajalti käytettyä Apache-pohjaista lokityökalua, log4j:tä, kirjaamaan palvelintietoja haitallisilla hyötykuormilla, jotka käynnistävät joukon toimintoja toissijaisen hyötykuorman lisäämiseksi. Toissijainen hyötykuorma mahdollistaa koodin etäsuorittamisen haavoittuvaisessa järjestelmässä.

Alun perin Minecraft-palvelimilla löydetyn haavoittuvuuden tunnistamisesta vastaavat tutkijat uskovat, että sadat tuhannet yritykset ja järjestelmät voivat olla vaarassa Apache-pohjaisen lokipalvelun laajan käytön vuoksi. Analyytikot ovat jo tunnistaneet useat suuret yritykset ja palvelut haavoittuviksi, mukaan lukien Amazon, Apple, Elastic, Steam, Tencent ja Twitter. Kansallisen turvallisuusviraston kyberturvallisuusjohtaja Robert Joyce vahvisti myös, että vaikutus vaikutti myös GHIDRAan, viraston avoimen lähdekoodin käänteisen suunnittelun työkaluun.

LunaSec huomauttaa, että kaikki Apache Struts -kehyksen käyttäjät ovat todennäköisesti haavoittuvia. Myöhempi päivitys laajensi lausuntoa osoittaen, että hyökkäyksen LDAP-pohjainen vektori ei vaikuta JDK-versioihin, jotka ovat suurempia kuin 6u211, 7u201, 8u191 ja 11.01. Tämä ei kuitenkaan tarkoita, että uudemmat versiot olisivat täysin immuuneja, sillä vaihtoehtoisia hyökkäysvektoreita voidaan silti käyttää Log4Shell-haavoittuvuuden hyödyntämiseksi koodin etäsuorittamisen käynnistämiseksi.

LunaSecin havainto ja tuloksena oleva CVE tarjoavat vaikutuksen alaisina oleville järjestelmille tilapäisiä ja pysyviä lievennystoimenpiteitä sen varmistamiseksi, että hyväksikäyttö ei vaikuta negatiivisesti niiden palvelimiin ja toimintaan. Log4j -palvelun päivitetty versio, v2.15.0, on korjannut hyväksikäytön ja asetettu ladattavaksi. CVE:ssä on myös väliaikainen lievennys organisaatioille, jotka eivät tällä hetkellä pysty päivittämään log4j-palveluaan.

Kuvan luotto: Markus Spiske

Tämä verkkosivusto käyttää evästeitä parantaakseen käyttökokemustasi. Oletamme, että olet kunnossa, mutta voit halutessasi kieltäytyä. Hyväksyä Lisätietoja