Kerentanan lain telah diidentifikasi di perpustakaan Log4j 2 (CVE-2021-45105), yang, tidak seperti dua masalah sebelumnya, diklasifikasikan sebagai berbahaya, tetapi tidak kritis. Masalah baru ini memungkinkan Anda menyebabkan penolakan layanan dan memanifestasikan dirinya dalam bentuk loop dan crash saat memproses jalur tertentu. Kerentanan telah diperbaiki pada rilis Log4j 2.17 yang dirilis beberapa jam yang lalu. Bahaya kerentanan dikurangi dengan fakta bahwa masalah hanya muncul pada sistem dengan Java 8.
Kerentanan ini memengaruhi sistem yang menggunakan kueri kontekstual (Pencarian Konteks), seperti ${ctx:var}, untuk menentukan format keluaran log. Versi Log4j dari 2.0-alpha1 hingga 2.16.0 tidak memiliki perlindungan terhadap rekursi yang tidak terkendali, yang memungkinkan penyerang memanipulasi nilai yang digunakan dalam substitusi untuk menyebabkan loop, yang menyebabkan kehabisan ruang tumpukan dan crash. Secara khusus, masalah terjadi saat mengganti nilai seperti "${${::-${::-$${::-j}}}}".
Selain itu, dapat dicatat bahwa peneliti dari Blumira telah mengusulkan opsi untuk menyerang aplikasi Java yang rentan yang tidak menerima permintaan jaringan eksternal; misalnya, sistem pengembang atau pengguna aplikasi Java dapat diserang dengan cara ini. Inti dari metode ini adalah jika ada proses Java yang rentan pada sistem pengguna yang menerima koneksi jaringan hanya dari host lokal, atau memproses permintaan RMI (Remote Method Invocation, port 1099), serangan dapat dilakukan dengan kode JavaScript yang dieksekusi ketika pengguna membuka halaman berbahaya di browser mereka. Untuk membuat koneksi ke port jaringan aplikasi Java selama serangan semacam itu, API WebSocket digunakan, yang tidak seperti permintaan HTTP, pembatasan asal yang sama tidak diterapkan (WebSocket juga dapat digunakan untuk memindai port jaringan di lokal host untuk menentukan penangan jaringan yang tersedia).
Yang juga menarik adalah hasil yang dipublikasikan oleh Google dalam menilai kerentanan perpustakaan yang terkait dengan dependensi Log4j. Menurut Google, masalah ini mempengaruhi 8% dari semua paket di repositori Maven Central. Secara khusus, 35863 paket Java yang terkait dengan Log4j melalui ketergantungan langsung dan tidak langsung terkena kerentanan. Pada saat yang sama, Log4j digunakan sebagai ketergantungan langsung tingkat pertama hanya dalam 17% kasus, dan di 83% paket yang terpengaruh, pengikatan dilakukan melalui paket perantara yang bergantung pada Log4j, yaitu. kecanduan tingkat kedua dan lebih tinggi (21% - tingkat kedua, 12% - ketiga, 14% - keempat, 26% - kelima, 6% - keenam). Kecepatan perbaikan kerentanan masih belum memadai; seminggu setelah kerentanan teridentifikasi, dari 35863 paket yang teridentifikasi, sejauh ini masalahnya hanya berhasil diperbaiki pada 4620 paket. sebesar 13%.
Sementara itu, Badan Perlindungan Keamanan Siber dan Infrastruktur AS mengeluarkan arahan darurat yang mengharuskan lembaga federal untuk mengidentifikasi sistem informasi yang terkena dampak kerentanan Log4j dan menginstal pembaruan yang memblokir masalah tersebut pada tanggal 23 Desember. Pada tanggal 28 Desember, organisasi diharuskan melaporkan pekerjaan mereka. Untuk menyederhanakan identifikasi sistem yang bermasalah, daftar produk yang telah dipastikan menunjukkan kerentanan telah disiapkan (daftar tersebut mencakup lebih dari 23 ribu aplikasi).
Sumber: opennet.ru