Mange Java-baserte applikasjoner og servere som er sårbare for nye Log4Shell-utnyttelser
Hvorfor det er viktig: Tidligere denne uken oppdaget utviklere av sikkerhetsplattformen LunaSec med åpen kildekode en null-dagers sårbarhet som påvirker et mye brukt Java-basert loggbibliotek. Sårbarheten, identifisert i et blogginnlegg som Log4Shell (CVE-2021-44228), kan gi tredjeparter muligheten til å kjøre ondsinnet kode på sårbare systemer.
Sårbarhetens oppdagelse krediteres forskere ved LunaSec og Alibaba Cloud Securitys Chen Zhaojun. Den utnytter et mye brukt Apache-basert loggingsverktøy, log4j, for å logge serverdata med ondsinnede nyttelaster som utløser en rekke handlinger for å injisere en sekundær nyttelast. Den sekundære nyttelasten tillater ekstern kjøring av kode på det berørte systemet.
Forskere som er ansvarlige for å identifisere sårbarheten, som først ble oppdaget på Minecraft-servere, mener at hundretusenvis av selskaper og systemer kan være i fare på grunn av den utbredte bruken av den Apache-baserte loggingstjenesten. Analytikere har allerede identifisert flere store selskaper og tjenester som sårbare, inkludert Amazon, Apple, Elastic, Steam, Tencent og Twitter. Nettsikkerhetsdirektør for National Security Agency, Robert Joyce, bekreftet også at GHIDRA, byråets åpen kildekode reverse engineering-verktøy, også var berørt.
LunaSec bemerker at alle som bruker Apache Struts – rammeverket sannsynligvis er sårbare. En senere oppdatering utvidet uttalelsen, og indikerer at JDK-versjoner større enn 6u211, 7u201, 8u191 og 11.01 ikke påvirkes av angrepets LDAP-baserte vektor. Dette betyr imidlertid ikke at senere versjoner er helt immune, ettersom alternative angrepsvektorer fortsatt kan brukes for å utnytte Log4Shell-sårbarheten for å starte ekstern kjøring av kode.
LunaSecs funn og den resulterende CVE gir berørte systemer midlertidige og permanente tiltak for å sikre at utnyttelsen ikke påvirker deres servere og drift negativt. En oppdatert versjon av log4j-tjenesten, v2.15.0, har utbedret utnyttelsen og blitt gjort tilgjengelig for nedlasting. Midlertidig avbøtelse er også gitt i CVE for organisasjoner som ikke kan oppgradere log4j-tjenesten på dette tidspunktet.
Bildekreditt: Markus Spiske