Łatka Log4J naprawiająca poważny dzień zerowy ma własną lukę, która jest już aktywnie wykorzystywana
Facepalm: Exploity Log4J, które nękały administratorów serwerów przez ostatni tydzień, są kontynuowane, ponieważ łatka wydana w celu zablokowania włamań wydaje się mieć własne luki w zabezpieczeniach. Niektóre firmy, które dokonały już aktualizacji do wersji Log4J 2.15.0, nadal doświadczają ataków z powodu co najmniej jednej z dwóch nowych wykrytych słabości.
W zeszłym tygodniu badacze bezpieczeństwa powiadomili programistów, że odkryli aktywnie wykorzystywaną lukę dnia zerowego w środowisku Apache Struts. Luka tkwiła w narzędziu rejestrującym Log4J. Fundacja Apache wydała poprawkę w wersji 2.15.0 i publicznie ujawniła słabość w weekend.
W ciągu 72 godzin po opublikowaniu aktualizacji wykorzystanie luki gwałtownie wzrosło, a badacze śledzili do 100 ataków na minutę i łącznie prawie milion incydentów. Duże firmy, w tym Apple, Amazon, Cisco i inne, starały się załatać dziurę.
Niemal tak szybko, jak systemy instalowały Log4J 2.15.0, firmy zajmujące się bezpieczeństwem, Praetorian i Cloudflare, zaczęły dostrzegać aktywne ataki w załatanych systemach. Badacze zidentyfikowali co najmniej dwa exploity w nowej luce śledzonej jako CVE-2021-45046.
Jedna słabość, wykryta we wtorek, umożliwiła hakerom przeprowadzanie ataków DDoS poprzez manipulowanie „wzorcami wyszukiwania wiadomości" i „funkcjami JNDI”. Apache wyłączył je teraz domyślnie w Log4J 2.16.0.
[iframe src=”//www.youtube.com/embed/bxDEJDqANig”]
Następnie w środę analitycy Praetorian znaleźli kolejny exploit, który umożliwiłby hakerom eksfiltrację danych z wrażliwych serwerów. Firma Praetorian opublikowała wideo potwierdzające koncepcję demonstrujące eksfiltrację na Log4J 2.15.0 (powyżej). Aktualizacja 2.16.0 również o to dba.
„W naszych badaniach wykazaliśmy, że wersja 2.15.0 może nadal umożliwiać eksfiltrację poufnych danych w pewnych okolicznościach”, zauważył Praetorian w ostrzeżeniu o natychmiastowej aktualizacji. „Przekazaliśmy szczegóły techniczne problemu Fundacji Apache, ale w międzyczasie zdecydowanie zalecamy klientom jak najszybszą aktualizację do wersji 2.16.0″.
Firma ochroniarska Cloudflare powiedziała w środę, że śledzi lukę CVE-2021-45046 i widziała już aktywnie wykorzystywaną lukę, ale nie wspomniała, czy ataki były DDoS, eksfiltracją danych, czy jednym i drugim. Zaleca również administratorom systemu jak najszybszą aktualizację do Log4J 2.16.0.
Obie firmy trzymają w tajemnicy szczegóły techniczne exploitów, podczas gdy pracownicy z branży aktualizują swoje systemy.