Još jedna ranjivost je identifikovana u biblioteci Log4j 2 (CVE-2021-45105), koja je, za razliku od prethodna dva problema, klasifikovana kao opasna, ali nije kritična. Novi problem vam omogućava da izazovete uskraćivanje usluge i manifestira se u obliku petlji i padova prilikom obrade određenih linija. Ranjivost je ispravljena u izdanju Log4j 2.17 objavljenom prije nekoliko sati. Opasnost od ranjivosti je ublažena činjenicom da se problem pojavljuje samo na sistemima sa Javom 8.
Ranjivost utiče na sisteme koji koriste kontekstualne upite (Context Lookup), kao što je ${ctx:var}, za određivanje izlaznog formata dnevnika. Verzije Log4j od 2.0-alpha1 do 2.16.0 nisu imale zaštitu od nekontrolisane rekurzije, što je omogućilo napadaču da manipuliše vrijednošću korištenom u zamjeni da izazove petlju, što je dovelo do iscrpljivanja prostora steka i pada. Konkretno, problem je nastao prilikom zamjene vrijednosti kao što je "${${::-${::-$${::-j}}}}".
Dodatno, može se primijetiti da su istraživači iz Blumire predložili opciju napada ranjivih Java aplikacija koje ne prihvataju zahtjeve vanjske mreže; na primjer, sistemi programera ili korisnika Java aplikacija mogu biti napadnuti na ovaj način. Suština metode je da ako na korisnikovom sistemu postoje ranjivi Java procesi koji prihvataju mrežne veze samo sa lokalnog hosta, ili obrađuju RMI zahtjeve (Remote Method Invocation, port 1099), napad se može izvesti pomoću JavaScript koda koji se izvršava kada korisnici otvore zlonamjernu stranicu u svom pretraživaču. Za uspostavljanje veze sa mrežnim portom Java aplikacije tokom takvog napada koristi se WebSocket API, na koji se, za razliku od HTTP zahtjeva, ne primjenjuju ograničenja istog porijekla (WebSocket se također može koristiti za skeniranje mrežnih portova na lokalnom host kako bi se odredili dostupni mrežni rukovaoci).
Zanimljivi su i rezultati koje je objavio Google o procjeni ranjivosti biblioteka povezanih sa Log4j ovisnostima. Prema Google-u, problem pogađa 8% svih paketa u Maven Central repozitorijumu. Konkretno, 35863 Java paketa povezanih sa Log4j putem direktnih i indirektnih zavisnosti bilo je izloženo ranjivosti. Istovremeno, Log4j se kao direktna zavisnost prvog nivoa koristi samo u 17% slučajeva, a u 83% zahvaćenih paketa povezivanje se vrši preko međupaketa koji zavise od Log4j, tj. zavisnosti drugog i višeg nivoa (21% - drugi nivo, 12% - treći, 14% - četvrti, 26% - peti, 6% - šesti). Tempo otklanjanja ranjivosti i dalje ostavlja mnogo da se poželi, nedelju dana nakon što je ranjivost identifikovana, od 35863 identifikovana paketa, problem je do sada otklonjen u samo 4620, tj. na 13%.
U međuvremenu, američka Agencija za kibernetičku sigurnost i zaštitu infrastrukture izdala je hitnu direktivu koja zahtijeva od saveznih agencija da do 4. decembra identifikuju informacione sisteme pogođene ranjivosti Log23j i instaliraju ažuriranja koja blokiraju problem. Do 28. decembra organizacije su dužne da prijave svoj rad. Da bi se pojednostavila identifikacija problematičnih sistema, pripremljena je lista proizvoda za koje je potvrđeno da pokazuju ranjivosti (lista obuhvata više od 23 hiljade aplikacija).
izvor: opennet.ru