Facepalm: Експлойти Log4J, які переслідували адміністраторів серверів протягом минулого тижня, продовжуються, оскільки виправлення, видане для блокування вторгнень, здається, має власні недоліки безпеки. Деякі компанії, які вже оновилися до Log4J 2.15.0, продовжують страждати від атак принаймні через одну з двох нових виявлених недоліків.

Минулого тижня дослідники безпеки повідомили розробників про те, що вони виявили активно використовувану уразливість нульового дня у фреймворку Apache Struts. Помилка була в утиліті журналу Log4J. Apache Foundation випустив виправлення з версією 2.15.0 і публічно оприлюднив слабкість у вихідні.

Протягом 72 годин після випуску оновлення використання недоліку різко зросло, дослідники відстежували до 100 атак на хвилину та загалом майже мільйон інцидентів. Великі фірми, включаючи Apple, Amazon, Cisco та інші, намагалися залатати цю діру.

Майже так само швидко, як системи встановлювали Log4J 2.15.0, охоронні фірми Praetorian і Cloudflare почали спостерігати активні атаки на виправлені системи. Дослідники виявили щонайменше два експлойти в новій уразливості, яка відстежується як CVE-2021-45046.

Одна слабка сторона, виявлена ​​у вівторок, дозволяла хакерам здійснювати DDoS-атаки, маніпулюючи «шаблонами пошуку повідомлень» та «функціональністю JNDI». Тепер Apache вимкнув їх за замовчуванням у Log4J 2.16.0.

[iframe src=”//www.youtube.com/embed/bxDEJDqANig”]

Потім у середу аналітики преторіанців знайшли ще один експлойт, який дозволив хакерам вилучити дані з вразливих серверів. Praetorian опублікував відео з доказом концепції, що демонструє ексфільтрацію на Log4J 2.15.0 (вище). Оновлення 2.16.0 також подбає про це.

«У нашому дослідженні ми продемонстрували, що 2.15.0 все ще може дозволяти вилучення конфіденційних даних за певних обставин», — зазначив Преторіан у попередженні про негайне оновлення. «Ми передали технічні деталі проблеми в Apache Foundation, але тим часом ми наполегливо рекомендуємо клієнтам оновити до 2.16.0 якомога швидше».

У середу фірма з безпеки Cloudflare заявила, що відстежує CVE-2021-45046 і вже бачила, що недолік активно експлуатується, але не згадав, чи були атаки DDoS, вилучення даних чи обидва. Він також рекомендує системним адміністраторам якнайшвидше оновити до Log4J 2.16.0.

Обидві компанії тримають технічні деталі експлойтів в секреті, поки працівники галузі оновлюють свої системи.