Log4J patch för att fixa allvarliga nolldagar har sin egen sårbarhet som redan är aktivt utnyttjad
Facepalm: Log4J-missbruken som har plågat serveradministratörer den senaste veckan fortsätter eftersom patchen som utfärdats för att blockera intrången verkar ha sina egna säkerhetsbrister. Vissa företag som redan hade uppdaterat till Log4J 2.15.0 har fortsatt att drabbas av attacker från minst en av två nya svagheter som hittats.
Förra veckan meddelade säkerhetsforskare utvecklare att de hade upptäckt en aktivt utnyttjad nolldagarssårbarhet i Apache Struts-ramverket . Felet låg i log4J-loggningsverktyget. Apache Foundation utfärdade en fix med version 2.15.0 och offentliggjorde svagheten under helgen.
Under de 72 timmarna efter utfärdandet av uppdateringen sköt exploateringen av felet i höjden, med forskare som spårade upp till 100 attacker per minut och nästan en miljon incidenter totalt. Stora företag, inklusive Apple, Amazon, Cisco och andra, kämpade för att lappa hålet.
Nästan lika snabbt som system installerade Log4J 2.15.0 började säkerhetsföretagen Praetorian och Cloudflare se aktiva attacker i de patchade systemen. Forskare hittade minst två exploateringar i en ny sårbarhet spårad som CVE-2021-45046.
En svaghet, som hittades på tisdagen, gjorde det möjligt för hackare att utföra DDoS-attacker genom att manipulera "meddelandesökningsmönster" och "JNDI-funktionalitet." Apache har nu inaktiverat dessa som standard i Log4J 2.16.0.
Sedan på onsdagen hittade Praetorian-analytiker en annan exploatering som skulle tillåta hackare att exfiltrera data från sårbara servrar. Praetorian postade en proof-of-concept-video som visar exfiltration på Log4J 2.15.0 (ovan). Uppdatering 2.16.0 tar hand om det också.
"I vår forskning har vi visat att 2.15.0 fortfarande kan tillåta exfiltrering av känsliga data under vissa omständigheter", noterade Praetorian i en varning om att uppgradera omedelbart. "Vi har skickat tekniska detaljer om problemet till Apache Foundation, men under tiden rekommenderar vi starkt att kunderna uppgraderar till 2.16.0 så snabbt som möjligt."
Säkerhetsföretaget Cloudflare sa på onsdagen att det spårar CVE-2021-45046 och har redan sett felet utnyttjas aktivt men nämnde inte om attackerna var DDoS, dataexfiltrering eller båda. Det rekommenderar också att systemadministratörer uppdaterar till Log4J 2.16.0 ASAP.
Båda företagen håller tekniska detaljer om bedrifterna hemliga medan industriarbetare uppdaterar sina system.