Багато програм і серверів на базі Java вразливі до нового експлойту Log4Shell
Чому це важливо: на початку цього тижня розробники платформи безпеки з відкритим кодом LunaSec виявили вразливість нульового дня, яка впливає на широко використовувану бібліотеку журналів на основі Java. Уразливість, визначена в дописі в блозі як Log4Shell (CVE-2021-44228), може дати третім сторонам можливість виконувати шкідливий код на вразливих системах.
Відкриття вразливості приписують дослідникам з LunaSec і Чену Чжаодзюню з Alibaba Cloud Security. Він використовує широко використовувану утиліту ведення журналів на основі Apache, log4j, для реєстрації даних сервера зі шкідливими корисними навантаженнями, які запускають ряд дій для введення вторинного корисного навантаження. Вторинне корисне навантаження дозволяє віддалено виконувати код на ураженій системі.
Дослідники, відповідальні за виявлення вразливості, спочатку виявленої на серверах Minecraft, вважають, що сотні тисяч компаній і систем можуть опинитися під загрозою через широке використання служби ведення журналів на основі Apache. Аналітики вже визначили кілька великих компаній і сервісів як уразливі, зокрема Amazon, Apple, Elastic, Steam, Tencent і Twitter. Директор з кібербезпеки Агентства національної безпеки Роберт Джойс також підтвердив, що GHIDRA, інструмент зворотного інжинірингу з відкритим кодом, також постраждав.
LunaSec зазначає, що будь-хто, хто використовує фреймворк Apache Struts, ймовірно, вразливий. Пізніше оновлення доповнило заяву, вказуючи на те, що версії JDK, що перевищують 6u211, 7u201, 8u191 і 11.01, не впливають на вектор атаки на основі LDAP. Однак це не означає, що пізніші версії повністю захищені, оскільки альтернативні вектори атаки все ще можуть використовуватися для використання вразливості Log4Shell для ініціювання віддаленого виконання коду.
Висновок LunaSec і отриманий в результаті CVE надають ураженим системам тимчасові та постійні заходи щодо пом'якшення наслідків, які гарантують, що експлойт не вплине негативно на їхні сервери та роботу. Оновлена версія служби log4j, v2.15.0, усунула експлойт і стала доступною для завантаження. У CVE також передбачено тимчасове пом’якшення для організацій, які наразі не можуть оновити службу log4j.
Image credit: Markus Spiske