Ďalšia zraniteľnosť bola identifikovaná v knižnici Log4j 2 (CVE-2021-45105), ktorá je na rozdiel od predchádzajúcich dvoch problémov klasifikovaná ako nebezpečná, ale nie kritická. Nový problém vám umožňuje spôsobiť odmietnutie služby a prejavuje sa vo forme slučiek a pádov pri spracovaní určitých riadkov. Chyba zabezpečenia bola opravená vo vydaní Log4j 2.17 vydanom pred niekoľkými hodinami. Nebezpečenstvo zraniteľnosti je zmiernené skutočnosťou, že problém sa vyskytuje iba na systémoch s Java 8.
Zraniteľnosť ovplyvňuje systémy, ktoré používajú kontextové dotazy (Kontextové vyhľadávanie), ako napríklad ${ctx:var}, na určenie formátu výstupu protokolu. Verziam Log4j od 2.0-alpha1 do 2.16.0 chýbala ochrana proti nekontrolovanej rekurzii, čo útočníkovi umožňovalo manipulovať s hodnotou použitou pri substitúcii tak, aby spôsobila slučku, čo viedlo k vyčerpaniu priestoru zásobníka a havárii. Problém nastal najmä pri dosadzovaní hodnôt, ako napríklad „${${::-${::-$${::-j}}}}“.
Dodatočne možno poznamenať, že výskumníci z Blumiry navrhli možnosť napadnúť zraniteľné Java aplikácie, ktoré neakceptujú externé sieťové požiadavky, napríklad systémy vývojárov alebo používateľov Java aplikácií môžu byť napadnuté týmto spôsobom. Podstatou metódy je, že ak sú v systéme používateľa zraniteľné procesy Java, ktoré akceptujú sieťové pripojenia iba z lokálneho hostiteľa, alebo spracúvajú požiadavky RMI (Remote Method Invocation, port 1099), útok môže byť vykonaný pomocou kódu JavaScript. keď používatelia otvoria vo svojom prehliadači škodlivú stránku. Na nadviazanie spojenia so sieťovým portom Java aplikácie pri takomto útoku sa používa WebSocket API, na ktoré sa na rozdiel od HTTP požiadaviek nevzťahujú obmedzenia rovnakého pôvodu (WebSocket je možné použiť aj na skenovanie sieťových portov na lokálnom hostiteľa na určenie dostupných sieťových obslužných programov).
Zaujímavé sú aj výsledky, ktoré Google zverejnil pri hodnotení zraniteľnosti knižníc spojených so závislosťami Log4j. Podľa Google sa problém týka 8 % všetkých balíkov v úložisku Maven Central. Najmä 35863 4 balíkov Java spojených s Log4j prostredníctvom priamych a nepriamych závislostí bolo vystavených zraniteľnostiam. Log17j sa zároveň používa ako priama závislosť prvej úrovne len v 83 % prípadov a v 4 % postihnutých balíkov sa väzba uskutočňuje prostredníctvom medzibalíkov, ktoré závisia od Log21j, t.j. závislosti druhého a vyššieho stupňa (12 % - druhý stupeň, 14 % - tretí, 26 % - štvrtý, 6 % - piaty, 35863 % - šiesty). Tempo odstraňovania zraniteľnosti stále zostáva príliš málo požadované, týždeň po identifikácii zraniteľnosti bol z 4620 13 identifikovaných balíkov problém zatiaľ odstránený iba v XNUMX XNUMX, t.j. na úrovni XNUMX %.
Americká agentúra pre kybernetickú bezpečnosť a ochranu infraštruktúry medzitým vydala núdzovú smernicu, ktorá vyžaduje, aby federálne agentúry identifikovali informačné systémy ovplyvnené zraniteľnosťou Log4j a nainštalovali aktualizácie, ktoré problém zablokujú do 23. decembra. Do 28. decembra sú organizácie povinné podať správu o svojej práci. Pre zjednodušenie identifikácie problematických systémov bol pripravený zoznam produktov, u ktorých sa potvrdila zraniteľnosť (zoznam obsahuje viac ako 23 tisíc aplikácií).
Zdroj: opennet.ru