Muitos aplicativos e servidores baseados em Java vulneráveis ​​à nova exploração do Log4Shell

6

Por que é importante: no início desta semana, os desenvolvedores da plataforma de segurança de código aberto LunaSec descobriram uma vulnerabilidade de dia zero que afeta uma biblioteca de log baseada em Java amplamente usada. A vulnerabilidade, identificada em uma postagem de blog como Log4Shell (CVE-2021-44228), pode dar a terceiros a capacidade de executar código malicioso em sistemas vulneráveis.

A descoberta da vulnerabilidade é creditada a pesquisadores da LunaSec e Chen Zhaojun, da Alibaba Cloud Security. Ele aproveita um utilitário de log baseado em Apache amplamente usado, log4j, para registrar dados do servidor com cargas maliciosas que acionam uma série de ações para injetar uma carga secundária. A carga secundária permite a execução remota de código no sistema afetado.

Pesquisadores responsáveis ​​por identificar a vulnerabilidade, descoberta inicialmente em servidores Minecraft, acreditam que centenas de milhares de empresas e sistemas podem estar em risco devido ao uso generalizado do serviço de registro baseado em Apache. Os analistas já identificaram várias grandes empresas e serviços como vulneráveis, incluindo Amazon, Apple, Elastic, Steam, Tencent e Twitter. O diretor de segurança cibernética da Agência de Segurança Nacional, Robert Joyce, também confirmou que o GHIDRA, a ferramenta de engenharia reversa de código aberto da agência, também foi afetado.

LunaSec observa que qualquer pessoa que use o framework Apache Struts provavelmente está vulnerável. Uma atualização posterior expandiu a declaração, indicando que as versões do JDK superiores a 6u211, 7u201, 8u191 e 11.01 não são afetadas pelo vetor baseado em LDAP do ataque. No entanto, isso não significa que as versões posteriores sejam completamente imunes, pois vetores de ataque alternativos ainda podem ser empregados para aproveitar a vulnerabilidade do Log4Shell para iniciar a execução remota de código.

A descoberta da LunaSec e o CVE resultante fornecem aos sistemas afetados etapas de mitigação temporárias e permanentes para garantir que a exploração não afete negativamente seus servidores e operações. Uma versão atualizada do serviço log4j, v2.15.0, corrigiu o exploit e foi disponibilizada para download. A mitigação temporária também foi fornecida no CVE para organizações incapazes de atualizar seu serviço log4j no momento.

Crédito da imagem: Markus Spiske

Fonte de gravação: techspot.com

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação