Log4J-oppdatering for å fikse alvorlige zero-day har sin egen sårbarhet som allerede er aktivt utnyttet
Facepalm: Log4J-utnyttelsene som har plaget serveradministratorer den siste uken fortsetter ettersom oppdateringen som ble utstedt for å blokkere inntrengingene, ser ut til å ha sine egne sikkerhetsfeil. Noen selskaper som allerede hadde oppdatert til Log4J 2.15.0 har fortsatt lider av angrep fra minst én av to nye svakheter som er funnet.
Forrige uke varslet sikkerhetsforskere utviklere om at de hadde oppdaget en aktivt utnyttet nulldagerssårbarhet i Apache Struts-rammeverket. Feilen var i Log4J-loggingsverktøyet. Apache Foundation utstedte en rettelse med versjon 2.15.0 og offentliggjorde svakheten i løpet av helgen.
I løpet av de 72 timene etter utgivelsen av oppdateringen skjøt utnyttelsen av feilen i været, med forskere som sporet opptil 100 angrep per minutt og nesten en million hendelser totalt. Store firmaer, inkludert Apple, Amazon, Cisco og andre, kjempet for å lappe hullet.
Nesten like raskt som systemene installerte Log4J 2.15.0, begynte sikkerhetsfirmaene Praetorian og Cloudflare å se aktive angrep i de lappede systemene. Forskere fant ut minst to utnyttelser i en ny sårbarhet sporet som CVE-2021-45046.
En svakhet, funnet på tirsdag, tillot hackere å utføre DDoS-angrep ved å manipulere «meldingsoppslagsmønstre» og «JNDI-funksjonalitet». Apache har nå deaktivert disse som standard i Log4J 2.16.0.
På onsdag fant Praetorian-analytikere en annen utnyttelse som ville tillate hackere å eksfiltrere data fra sårbare servere. Praetorian la ut en proof-of-concept-video som demonstrerer eksfiltrering på Log4J 2.15.0 (over). Oppdatering 2.16.0 tar seg av det også.
"I vår forskning har vi vist at 2.15.0 fortsatt kan tillate eksfiltrering av sensitive data under visse omstendigheter," sa Praetorian i en advarsel om å oppgradere umiddelbart. "Vi har sendt tekniske detaljer om problemet til Apache Foundation, men i mellomtiden anbefaler vi sterkt at kundene oppgraderer til 2.16.0 så raskt som mulig."
Sikkerhetsfirmaet Cloudflare sa onsdag at det sporer CVE-2021-45046 og har allerede sett feilen bli aktivt utnyttet, men nevnte ikke om angrepene var DDoS, dataeksfiltrering eller begge deler. Den anbefaler også at systemadministratorer oppdaterer til Log4J 2.16.0 ASAP.
Begge selskapene holder tekniske detaljer om utnyttelsene skjult mens industriarbeidere oppdaterer systemene sine.