3/5 - (2 голоса)

Самый большой факап в Джаве мире за последние 10 лет» — в Java Apache Log4j обнаружили новую Zero-day уязвимость
В популярной среди разработчиков библиотеке логирования Java Apache Log4j обнаружили уязвимость нулевого дня, которая легко эксплуатируется и позволяет злоумышленникам получить полный контроль над уязвимыми серверами. Об этом  сообщает LunaSec.

Что известно о новой уязвимости

«На днях произошел самый большой факап в Джаве мире за последние 10 лет? Уж очень скоро десятки тысяч серверов не выйдут онлайн. Наши серверы уже просканили с десяток сканеров», — написал соучредитель компании Blynk Дмитрий Думанский в  Facebook .

В частности, эксплойт CVE-2021-44228 классифицируют как серьезный и назвали «Log4Shell». Он позволяет выполнять удаленный код без проверки подлинности (RCE) путем регистрации определенной строки, поскольку пользователь, запускающий приложение, использует библиотеку логирования Java.

Кто пострадал

Уязвимость затронула все системы и службы, использующие библиотеку логирования Java, Apache Log4j между версиями 2.0 и 2.14.1, включая многие службы и приложения, написанные на Java. 

Также к этому эксплойту уязвимы многие различные сервисы: облачные сервисы, такие как Steam, Apple iCloud и программы, такие как Minecraft. В общем, любой, кто использует Apache Struts, может быть уязвимым.

К тому же было показано , что простое изменение имени iPhone вызывает уязвимость на серверах Apple.

Впоследствии стало известно, что версии JDK, позднее  6u2117u2018u191 и 11.0.1, не подвергаются воздействию вектора атаки LDAP. В этих версиях com.sun.jndi.ldap.object.trustURLCodebaseустановлено значение false, т.е. JNDI не может загружать удаленный код с помощью LDAP.

Как фиксить проблему

Между тем многие проекты с открытым кодом, например сервер Minecraft, Paper, уже начали исправлять использование log4j2.

Временный фикс: JAVA_OPTS="-Dlog4j.formatMsgNoLookups=true"или обновить версии Log4j до log4j-2.15.0-rc1. Однако уже найден способ обходить защиту, добавленную в выпуске log4j-2.15.0-rc1.

В то же время предложено новое обновление log4j-2.15.0-rc2 с полной защитой от уязвимости. В коде выделяется изменение, связанное с отсутствием аварийного завершения при использовании некорректно оформленного JNDI URL.

Тем не менее, существуют другие направления атаки, направленные на эту уязвимость, что может привести к RCE. Злоумышленник все еще может использовать существующий код на сервере для выполнения кода.

Ранее международная компания решений для облачной безопасности Wiz выявила серьезную уязвимость в Microsoft Azure, затрагивающей виртуальные машины Linux .

Перед этим компания Apple выпустила набор новых обновлений для iOS, macOS и watchOS, чтобы исправить ошибку , которая, как считают исследователи безопасности Citizen Lab, скорее всего, позволила правительственным учреждениям устанавливать шпионские программы на телефоны журналистов, адвокатов и активистов.