Många Java-baserade applikationer och servrar sårbara för nya Log4Shell-exploatering
Varför det är viktigt: Tidigare i veckan upptäckte utvecklare av säkerhetsplattformen LunaSec med öppen källkod en nolldagarssårbarhet som påverkar ett allmänt använt Java-baserat loggningsbibliotek. Sårbarheten, identifierad i ett blogginlägg som Log4Shell (CVE-2021-44228), kan ge tredje part möjligheten att exekvera skadlig kod på sårbara system.
Sårbarhetens upptäckt krediteras forskare vid LunaSec och Alibaba Cloud Securitys Chen Zhaojun. Det utnyttjar ett allmänt använt Apache-baserat loggningsverktyg, log4j, för att logga serverdata med skadliga nyttolaster som utlöser en serie åtgärder för att injicera en sekundär nyttolast. Den sekundära nyttolasten tillåter fjärrexekvering av kod på det berörda systemet.
Forskare som är ansvariga för att identifiera sårbarheten, som först upptäcktes på Minecraft-servrar, tror att hundratusentals företag och system kan vara i riskzonen på grund av den utbredda användningen av den Apache-baserade loggningstjänsten. Analytiker har redan identifierat flera stora företag och tjänster som sårbara, inklusive Amazon, Apple, Elastic, Steam, Tencent och Twitter. National Security Agencys cybersäkerhetschef Robert Joyce bekräftade också att GHIDRA, byråns öppen källkodsreverse engineering-verktyg, också påverkades.
LunaSec noterar att alla som använder Apache Struts- ramverket sannolikt är sårbara. En senare uppdatering utökade uttalandet, vilket indikerar att JDK-versioner större än 6u211, 7u201, 8u191 och 11.01 inte påverkas av attackens LDAP-baserade vektor. Detta betyder dock inte att senare versioner är helt immuna, eftersom alternativa attackvektorer fortfarande kan användas för att utnyttja Log4Shell-sårbarheten för att initiera fjärrkörning av kod.
LunaSecs upptäckt och den resulterande CVE förser drabbade system med tillfälliga och permanenta åtgärder för att säkerställa att exploateringen inte påverkar deras servrar och drift negativt. En uppdaterad version av log4j-tjänsten, v2.15.0, har åtgärdat exploateringen och gjorts tillgänglig för nedladdning. Tillfälliga begränsningar har också tillhandahållits i CVE för organisationer som inte kan uppgradera sin log4j-tjänst för närvarande.
Bildkredit: Markus Spiske