Самый большой факап в Джаве мире за последние 10 лет» — в Java Apache Log4j обнаружили новую Zero-day уязвимость
В популярной среди разработчиков библиотеке логирования Java Apache Log4j обнаружили уязвимость нулевого дня, которая легко эксплуатируется и позволяет злоумышленникам получить полный контроль над уязвимыми серверами. Об этом сообщает LunaSec.
Что известно о новой уязвимости
«На днях произошел самый большой факап в Джаве мире за последние 10 лет? Уж очень скоро десятки тысяч серверов не выйдут онлайн. Наши серверы уже просканили с десяток сканеров», — написал соучредитель компании Blynk Дмитрий Думанский в Facebook .
В частности, эксплойт CVE-2021-44228 классифицируют как серьезный и назвали «Log4Shell». Он позволяет выполнять удаленный код без проверки подлинности (RCE) путем регистрации определенной строки, поскольку пользователь, запускающий приложение, использует библиотеку логирования Java.
Кто пострадал
Уязвимость затронула все системы и службы, использующие библиотеку логирования Java, Apache Log4j между версиями 2.0 и 2.14.1, включая многие службы и приложения, написанные на Java.
Также к этому эксплойту уязвимы многие различные сервисы: облачные сервисы, такие как Steam, Apple iCloud и программы, такие как Minecraft. В общем, любой, кто использует Apache Struts, может быть уязвимым.
К тому же было показано , что простое изменение имени iPhone вызывает уязвимость на серверах Apple.
Впоследствии стало известно, что версии JDK, позднее 6u211, 7u201, 8u191 и 11.0.1, не подвергаются воздействию вектора атаки LDAP. В этих версиях com.sun.jndi.ldap.object.trustURLCodebaseустановлено значение false, т.е. JNDI не может загружать удаленный код с помощью LDAP.
Как фиксить проблему
Между тем многие проекты с открытым кодом, например сервер Minecraft, Paper, уже начали исправлять использование log4j2.
Временный фикс: JAVA_OPTS="-Dlog4j.formatMsgNoLookups=true"или обновить версии Log4j до log4j-2.15.0-rc1. Однако уже найден способ обходить защиту, добавленную в выпуске log4j-2.15.0-rc1.
В то же время предложено новое обновление log4j-2.15.0-rc2 с полной защитой от уязвимости. В коде выделяется изменение, связанное с отсутствием аварийного завершения при использовании некорректно оформленного JNDI URL.
Тем не менее, существуют другие направления атаки, направленные на эту уязвимость, что может привести к RCE. Злоумышленник все еще может использовать существующий код на сервере для выполнения кода.
Ранее международная компания решений для облачной безопасности Wiz выявила серьезную уязвимость в Microsoft Azure, затрагивающей виртуальные машины Linux .
Перед этим компания Apple выпустила набор новых обновлений для iOS, macOS и watchOS, чтобы исправить ошибку , которая, как считают исследователи безопасности Citizen Lab, скорее всего, позволила правительственным учреждениям устанавливать шпионские программы на телефоны журналистов, адвокатов и активистов.