Wiele aplikacji i serwerów opartych na Javie jest podatnych na nowy exploit Log4Shell

9

Dlaczego to ma znaczenie: na początku tego tygodnia twórcy platformy bezpieczeństwa LunaSec o otwartym kodzie źródłowym wykryli lukę zero-day, która ma wpływ na powszechnie używaną bibliotekę rejestrowania opartą na Javie. Luka, zidentyfikowana w poście na blogu jako Log4Shell (CVE-2021-44228), może dać stronom trzecim możliwość wykonania złośliwego kodu na podatnych systemach.

Odkrycie luki przypisuje się badaczom z LunaSec i Chen Zhaojun z Alibaba Cloud Security. Wykorzystuje szeroko stosowane narzędzie do rejestrowania oparte na Apache, log4j, do rejestrowania danych serwera ze złośliwymi ładunkami, które wyzwalają serię działań w celu wstrzyknięcia dodatkowego ładunku. Dodatkowy ładunek umożliwia zdalne wykonanie kodu w systemie, którego dotyczy problem.

Badacze odpowiedzialni za zidentyfikowanie luki, wykrytej początkowo na serwerach Minecrafta, uważają, że setki tysięcy firm i systemów może być zagrożonych z powodu powszechnego korzystania z usługi logowania opartej na Apache. Analitycy zidentyfikowali już kilka dużych firm i usług jako podatne na ataki, w tym Amazon, Apple, Elastic, Steam, Tencent i Twitter. Dyrektor ds. bezpieczeństwa cybernetycznego Agencji Bezpieczeństwa Narodowego, Robert Joyce, potwierdził również, że problem dotyczy również GHIDRA, narzędzia inżynierii wstecznej agencji typu open source.

LunaSec zauważa, że ​​każdy, kto używa frameworka Apache Struts, jest prawdopodobnie narażony na ataki. Późniejsza aktualizacja rozszerzyła oświadczenie, wskazując, że wersje JDK większe niż 6u211, 7u201, 8u191 i 11.01 nie są narażone na atak oparty na LDAP. Nie oznacza to jednak, że późniejsze wersje są całkowicie odporne, ponieważ alternatywne wektory ataku mogą nadal być wykorzystywane do wykorzystania luki Log4Shell w celu zainicjowania zdalnego wykonania kodu.

Odkrycie LunaSec i wynikające z niego CVE zapewniają systemom, których dotyczy problem, tymczasowe i stałe działania łagodzące, aby upewnić się, że exploit nie wpłynie negatywnie na ich serwery i operacje. Zaktualizowana wersja usługi log4j, v2.15.0, naprawiła exploita i została udostępniona do pobrania. W CVE zapewniono również tymczasowe środki zaradcze dla organizacji, które nie mogą obecnie zaktualizować swojej usługi log4j.

Źródło obrazu: Markus Spiske

Źródło nagrywania: techspot.com

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. Akceptuję Więcej szczegółów