Μια άλλη ευπάθεια εντοπίστηκε στη βιβλιοθήκη Log4j 2 (CVE-2021-45105), η οποία, σε αντίθεση με τα δύο προηγούμενα προβλήματα, ταξινομείται ως επικίνδυνη, αλλά όχι κρίσιμη. Το νέο ζήτημα σάς επιτρέπει να προκαλείτε άρνηση εξυπηρέτησης και εκδηλώνεται με τη μορφή βρόχων και σφαλμάτων κατά την επεξεργασία ορισμένων γραμμών. Το θέμα ευπάθειας επιδιορθώθηκε στην έκδοση Log4j 2.17 που κυκλοφόρησε πριν από λίγες ώρες. Ο κίνδυνος της ευπάθειας μετριάζεται από το γεγονός ότι το πρόβλημα εμφανίζεται μόνο σε συστήματα με Java 8.
Η ευπάθεια επηρεάζει συστήματα που χρησιμοποιούν ερωτήματα συμφραζομένων (Αναζήτηση περιβάλλοντος), όπως το ${ctx:var}, για τον προσδιορισμό της μορφής εξόδου του αρχείου καταγραφής. Οι εκδόσεις Log4j από 2.0-alpha1 έως 2.16.0 δεν είχαν προστασία από ανεξέλεγκτη αναδρομή, κάτι που επέτρεπε στον εισβολέα να χειριστεί την τιμή που χρησιμοποιήθηκε στην αντικατάσταση για να προκαλέσει ένα βρόχο, οδηγώντας σε εξάντληση του χώρου στοίβας και συντριβή. Συγκεκριμένα, το πρόβλημα παρουσιάστηκε κατά την αντικατάσταση τιμών όπως "${${::-${::-$${::-j}}}}".
Επιπρόσθετα, μπορεί να σημειωθεί ότι ερευνητές από την Blumira έχουν προτείνει μια επιλογή επίθεσης σε ευάλωτες εφαρμογές Java που δεν δέχονται αιτήματα εξωτερικού δικτύου, για παράδειγμα, τα συστήματα των προγραμματιστών ή των χρηστών εφαρμογών Java μπορούν να επιτεθούν με αυτόν τον τρόπο. Η ουσία της μεθόδου είναι ότι εάν υπάρχουν ευάλωτες διεργασίες Java στο σύστημα του χρήστη που δέχονται συνδέσεις δικτύου μόνο από τον τοπικό κεντρικό υπολογιστή ή επεξεργάζονται αιτήματα RMI (Remote Method Invocation, port 1099), η επίθεση μπορεί να εκτελεστεί με κώδικα JavaScript που εκτελείται όταν οι χρήστες ανοίγουν μια κακόβουλη σελίδα στο πρόγραμμα περιήγησής τους. Για τη δημιουργία σύνδεσης με τη θύρα δικτύου μιας εφαρμογής Java κατά τη διάρκεια μιας τέτοιας επίθεσης, χρησιμοποιείται το WebSocket API, στο οποίο, σε αντίθεση με τα αιτήματα HTTP, δεν εφαρμόζονται περιορισμοί ίδιας προέλευσης (το WebSocket μπορεί επίσης να χρησιμοποιηθεί για τη σάρωση θυρών δικτύου στο τοπικό host προκειμένου να προσδιοριστούν οι διαθέσιμοι χειριστές δικτύου).
Ενδιαφέρον παρουσιάζουν επίσης τα αποτελέσματα που δημοσιεύει η Google για την αξιολόγηση της ευπάθειας των βιβλιοθηκών που σχετίζονται με τις εξαρτήσεις Log4j. Σύμφωνα με την Google, το πρόβλημα επηρεάζει το 8% όλων των πακέτων στο κεντρικό αποθετήριο Maven. Συγκεκριμένα, 35863 πακέτα Java που σχετίζονται με το Log4j μέσω άμεσων και έμμεσων εξαρτήσεων εκτέθηκαν σε τρωτά σημεία. Ταυτόχρονα, το Log4j χρησιμοποιείται ως άμεση εξάρτηση πρώτου επιπέδου μόνο στο 17% των περιπτώσεων και στο 83% των επηρεαζόμενων πακέτων, η δέσμευση πραγματοποιείται μέσω ενδιάμεσων πακέτων που εξαρτώνται από το Log4j, π.χ. εθισμοί δεύτερου και ανώτερου επιπέδου (21% - δεύτερο επίπεδο, 12% - τρίτο, 14% - τέταρτο, 26% - πέμπτο, 6% - έκτο). Ο ρυθμός επιδιόρθωσης της ευπάθειας εξακολουθεί να αφήνει πολλά περιθώρια· μια εβδομάδα μετά τον εντοπισμό της ευπάθειας, από τα 35863 πακέτα που εντοπίστηκαν, το πρόβλημα έχει επιδιορθωθεί μέχρι στιγμής μόνο σε 4620, δηλ. στο 13%.
Εν τω μεταξύ, η Υπηρεσία Κυβερνοασφάλειας και Προστασίας Υποδομών των ΗΠΑ εξέδωσε μια οδηγία έκτακτης ανάγκης που απαιτεί από τις ομοσπονδιακές υπηρεσίες να εντοπίσουν συστήματα πληροφοριών που επηρεάζονται από την ευπάθεια Log4j και να εγκαταστήσουν ενημερώσεις που μπλοκάρουν το πρόβλημα έως τις 23 Δεκεμβρίου. Έως τις 28 Δεκεμβρίου, οι οργανισμοί υποχρεούνται να υποβάλλουν έκθεση για το έργο τους. Για την απλούστευση της αναγνώρισης προβληματικών συστημάτων, έχει ετοιμαστεί μια λίστα προϊόντων που έχουν επιβεβαιωθεί ότι παρουσιάζουν τρωτά σημεία (η λίστα περιλαμβάνει περισσότερες από 23 χιλιάδες εφαρμογές).
Πηγή: opennet.ru