Apache Software Foundation ir izdevis labojumus, lai ierobežotu aktīvi izmantotu nulles dienas ievainojamību, kas ietekmē plaši izmantoto Apache Log4j Java auditācijas pierakstu bibliotēku, un ko var izmantot, lai izpildītu ļaunprātīgu kodu un ļautu pilnībā pārņemt neaizsargātas sistēmas.
Problēma, kas apzīmēta ar CVE-2021-44228 un ar Log4Shell vai LogJam, attiecas uz neautentificētu attālinātu koda izpildi (RCE) jebkurā lietojumprogrammā, kas izmanto atvērtā pirmkoda utilītu, un skar Log4j 2.0-beta9 līdz 2.14.1 versiju. CVSS vērtēšanas sistēmā ievainojamība ir novērtēta ar 10 punktiem no 10, kas norāda uz problēmas nopietnību.
Apache Foundation paziņojumā teikts, ka uzbrucējs, kas var kontrolēt auditācijas pierakstus vai auditācijas pierakstu parametrus, var izpildīt patvaļīgu kodu, kas ielādēts no LDAP serveriem, ja ir iespējota ziņojumu meklēšanas aizstāšana. Sākot ar Log4j 2.15.0, šī uzvedība pēc noklusējuma ir atspējota.
Izmantošanu var panākt ar vienu teksta virkni, kas var iedarbināt lietojumprogrammu sazināties ar ļaunprātīgu ārējo vadītāju, ja tā tiek reģistrēta, izmantojot neaizsargāto Log4j gadījumu. Pretiniekam tiek sniegta iespēja iegūt datus no attāla servera un izpildīt to lokāli. Projekta uzturētāji par problēmas atklāšanu ir atzinuši Chen Zhaojun no Alibaba Cloud Security Team.
Log4j izmanto vairāki ražotāji, tostarp Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter un videospēles, piemēram, Minecraft.
Kritiska ievainojamība
Bharat Jogi, Qualys ievainojamību un signatūru vecākais vadītājs atzīst, ka Apache Log4j nulles dienas ievainojamība, iespējams, ir viskritiskākā ievainojamība, kas šogad novērota.
Uzņēmums GreyNoise, kas šo nepilnību pielīdzina Shellshock, paziņoja, ka novērotas ļaunprātīgas darbības, kas vērstas uz šo ievainojamību, sākot ar 2021. gada 9. decembri. Tīmekļa infrastruktūras uzņēmums Cloudflare norādīja, ka piektdien tas bloķēja aptuveni 20 000 izmantošanas pieprasījumu minūtē, un lielākā daļa izmantošanas mēģinājumu bija no Kanādas, ASV, Nīderlandes, Francijas un Apvienotās Karalistes.
Uzbrukumu skaits pieaug
“Šī Log4j (CVE-2021-44228) ievainojamība ir ārkārtīgi bīstama. Miljoniem lietojumprogrammu izmanto Log4j reģistrēšanai, un viss, kas uzbrucējam jādara, ir jāpanāk, lai lietojumprogramma reģistrē īpašu virkni,” tviterī paziņoja drošības eksperts Markuss Hačinss.
Ņemot vērā Log4j izmantošanas vieglumu un izplatību uzņēmumu IT un DevOps, gaidāms, ka tuvākajās dienās pieaugs uzbrukumu skaits, kas vērsti uz jutīgiem serveriem, tāpēc ir svarīgi nekavējoties novērst šo kļūdu. Izraēlas kiberdrošības uzņēmums Cybereason ir publicējis arī labojumu ar nosaukumu “Logout4Shell”, kas novērš trūkumu, izmantojot pašu ievainojamību.
