Патч Log4J для исправления серьезного нулевого дня имеет собственную уязвимость, которая уже активно эксплуатируется
Facepalm: Эксплойты Log4J, которые преследовали администраторов серверов на прошлой неделе, продолжаются, поскольку патч, выпущенный для блокировки вторжений, по-видимому, имеет собственные недостатки безопасности. Некоторые компании, которые уже обновились до Log4J 2.15.0, продолжают подвергаться атакам по крайней мере из-за одной из двух обнаруженных новых уязвимостей.
На прошлой неделе исследователи безопасности уведомили разработчиков об обнаружении активно эксплуатируемой уязвимости нулевого дня в среде Apache Struts. Недостаток был в утилите ведения журнала Log4J. Apache Foundation выпустила исправление версии 2.15.0 и публично сообщила об уязвимости на выходных.
В течение 72 часов после выпуска обновления использование уязвимости резко возросло: исследователи отслеживают до 100 атак в минуту и в общей сложности почти миллион инцидентов. Крупные фирмы, в том числе Apple, Amazon, Cisco и другие, пытались залатать дыру.
Почти сразу же после установки Log4J 2.15.0 в системах безопасности фирмы Praetorian и Cloudflare начали замечать активные атаки на пропатченные системы. Исследователи обнаружили как минимум два эксплойта в новой уязвимости, отслеживаемой как CVE-2021-45046.
Одна уязвимость, обнаруженная во вторник, позволяла хакерам выполнять DDoS-атаки, манипулируя «шаблонами поиска сообщений» и «функциями JNDI». Теперь Apache отключил их по умолчанию в Log4J 2.16.0.
Затем в среду аналитики Praetorian обнаружили еще один эксплойт, позволяющий хакерам эксфильтровать данные с уязвимых серверов. Praetorian опубликовал демонстрационное видео, демонстрирующее эксфильтрацию на Log4J 2.15.0 (см. выше). Обновление 2.16.0 позаботится и об этом.
«В ходе нашего исследования мы продемонстрировали, что версия 2.15.0 по-прежнему может допускать кражу конфиденциальных данных при определенных обстоятельствах», — отметил Преториан, предупредив о необходимости немедленного обновления. «Мы передали технические детали проблемы в Apache Foundation, но тем временем мы настоятельно рекомендуем клиентам как можно быстрее выполнить обновление до версии 2.16.0».
Компания Cloudflare, занимающаяся безопасностью, заявила в среду, что отслеживает CVE-2021-45046 и уже заметила, что уязвимость активно эксплуатируется, но не упомянула, были ли атаки DDoS, кражи данных или и то, и другое. Он также рекомендует системным администраторам обновиться до Log4J 2.16.0 как можно скорее.
Обе компании держат в секрете технические детали эксплойтов, пока работники отрасли обновляют свои системы.