Многие Java-приложения и серверы уязвимы для нового эксплойта Log4Shell
Почему это важно: ранее на этой неделе разработчики платформы безопасности с открытым исходным кодом LunaSec обнаружили уязвимость нулевого дня, затрагивающую широко используемую библиотеку ведения журналов на основе Java. Уязвимость, обозначенная в сообщении в блоге как Log4Shell (CVE-2021-44228), может дать третьим сторонам возможность выполнять вредоносный код на уязвимых системах.
Обнаружение уязвимости приписывают исследователям LunaSec и Чену Чжаоцзюню из Alibaba Cloud Security. Он использует широко используемую утилиту ведения журнала на основе Apache, log4j, для регистрации данных сервера с вредоносными полезными нагрузками, которые запускают ряд действий для внедрения вторичной полезной нагрузки. Вторичная полезная нагрузка позволяет удаленно выполнять код в уязвимой системе.
Исследователи, ответственные за выявление уязвимости, первоначально обнаруженной на серверах Minecraft, считают, что сотни тысяч компаний и систем могут оказаться под угрозой из-за широкого использования службы ведения журналов на основе Apache. Аналитики уже назвали уязвимыми несколько крупных компаний и сервисов, в том числе Amazon, Apple, Elastic, Steam, Tencent и Twitter. Директор по кибербезопасности Агентства национальной безопасности Роберт Джойс также подтвердил, что GHIDRA, инструмент обратной разработки агентства с открытым исходным кодом, также был затронут.
LunaSec отмечает, что любой, кто использует инфраструктуру Apache Struts, вероятно, уязвим. Более позднее обновление расширило заявление, указав, что версии JDK выше 6u211, 7u201, 8u191 и 11.01 не подвержены вектору атаки на основе LDAP. Однако это не означает, что более поздние версии полностью защищены от атак, поскольку все еще могут использоваться альтернативные векторы атак для использования уязвимости Log4Shell для инициирования удаленного выполнения кода.
Обнаружение LunaSec и полученный в результате CVE предоставляют уязвимым системам временные и постоянные меры по смягчению последствий, чтобы гарантировать, что эксплойт не повлияет негативно на их серверы и операции. Обновленная версия службы log4j, v2.15.0, устранила эксплойт и стала доступной для загрузки. В CVE также предусмотрено временное смягчение для организаций, которые в настоящее время не могут обновить свою службу log4j.
Image credit: Markus Spiske