«Найбільший факап у джава світі за останні 10 років» — у Java Apache Log4j виявили нову Zero-day вразливість
У популярній серед розробників бібліотеці логування Java Apache Log4j виявили вразливість нульового дня, яка легко експлуатується і дозволяє зловмисникам отримати повний контроль над вразливими серверами. Про це повідомляє LunaSec.
Що відомо про нову вразливість
«На днях стався найбільший факап у джава світі за останні 10 років? Вже дуже скоро десятки тисяч серверів не вийдуть онлайн. Наші сервери вже просканило з десяток сканерів», — написав співзасновник компанії Blynk Дмитро Думанський у Facebook.
Зокрема експлойт CVE-2021-44228 класифікують як серйозний і назвали «Log4Shell». Він дозволяє виконувати віддалений код без автентифікації (RCE) шляхом реєстрації певного рядка, оскільки користувач, який запускає програму, використовує бібліотеку логування Java.
Хто постраждав
Вразливість зачепила всі системи і служби, що використовують бібліотеку логування Java, Apache Log4j між версіями 2.0 та 2.14.1, включаючи багато служб і програм, написаних на Java. Ось приклади того, що вразливе.
Також до цього експлойту вразливі багато різних сервісів: хмарні сервіси, такі як Steam, Apple iCloud та програми, як-от Minecraft. Загалом будь-хто, хто використовує Apache Struts, може бути вразливим. Тут зібрані відгуки від постраждалих організацій.
До того ж було показано, що проста зміна імені iPhone викликає вразливість на серверах Apple.
Згодом стало відомо, що версії JDK, пізніші за 6u211
, 7u201
, 8u191
і 11.0.1
, не піддаються впливу вектору атаки LDAP. У цих версіях для com.sun.jndi.ldap.object.trustURLCodebase
встановлено значення false
, тобто JNDI не може завантажувати віддалений код за допомогою LDAP.
Як фіксять проблему
Тим часом багато проєктів із відкритим кодом, як-от сервер Minecraft, Paper, уже почали виправляти використання log4j2.
Тимчасовий фікс: JAVA_OPTS="-Dlog4j.formatMsgNoLookups=true"
або оновити версії Log4j до log4j-2.15.0-rc1. Однак уже знайдено спосіб обходити захист, доданий у випуску log4j-2.15.0-rc1.
Водночас запропоновано нове оновлення log4j-2.15.0-rc2 із повним захистом від уразливості. У коді виділяється зміна, пов’язана з відсутністю аварійного завершення у разі використання некоректно оформленого JNDI URL.
Тим не менш існують інші напрямки атаки, спрямовані на цю вразливість, що може призвести до RCE. Зловмисник все ще може використовувати існуючий код на сервері для виконання корисного навантаження.
Раніше міжнародна компанія рішень для хмарної безпеки Wiz виявила серйозну вразливість у Microsoft Azure, яка зачіпає віртуальні машини Linux.
Перед цим компанія Apple випустила набір нових оновлень для iOS, macOS і watchOS, щоб виправити помилку, яка, як вважають дослідники безпеки з Citizen Lab, скоріше за все, дозволила урядовим установам встановлювати шпигунські програми на телефони журналістів, адвокатів та активістів.
33 коментарі
Додати коментар Підписатись на коментаріВідписатись від коментарів