Uočena ranjivost na Java paketu log4j

Uočena ranjivost na Java paketu log4j

Log4Shell - nova ranjivost nultog dana u Java paketu za evidentiranje log4j objavljena je 9. prosinca 2021. godine.

Sami problem 24. studenog otkrio je Chen Zhaojun iz Alibaba Cloud Security tima, dok je zakrpa osmišljena 6. prosinca.

Zavod za sigurnost informacijskih sustava navodi kako je Log4j tradicionalno najodabraniji okvir zapisa dnevničkih zapisa za Java aplikaciju te je prisutan u velikom broju proizvoda, uključujući uređaje kod kojih zakrpe mogu biti problematične ili nemoguće. Ranjivost je kritična iz razloga što je dovoljno da potencijalni napadač pošalje zloćudni niz koji informacijski sustav bilježi i uspostavlja komunikaciju sa navedenim. S obzirom na navedeno rute eksploatacije su široke i često ne zahtijevaju razinu provjerenog pristupa.

U CVE bazi sigurnosnih ranjivosti ova je zabilježena pod oznakom CVE-2021-44228.

Postoje tri primarna čimbenika koji ranjivost log4shell čine posebno opasnom, što dovodi do CVSS ocjene od 10,0. Prvi je činjenica da je ranjivost je relativno lako iskoristiti, odnosno napadaču je potrebna samo mogućnost kontrole nizova koji će se zabilježiti putem log4j biblioteke. Drugi je da se zbog širine spektra različitih ruta za potencijalni napad (mnogo različitih operacija se bilježi i mogu se kontrolirati od strane napadača) jedini kompletni način uklanjanja ranjivosti je nadogradnja na zadnju verziju. Treći je veliki broj komponenti čija tehnologija koristi log4j – što znači da je širok spektar ranjivosti.

Trenutna lista zahvaćenih tehnologija (puni opseg utjecaja ranjivosti se još i dalje utvrđuje i nadopunjava):dostupna je na sljedećim linkovima:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
https://github.com/YfryTchsGD/Log4jAttackSurface
https://mvnrepository.com/artifact/log4j/log4j/usages

Hrvatska sigurnosna tvrtka Diverto objavila je i set Nmap skript koje mogu pomoći za provjeru ranjivosti:
https://github.com/Diverto/nse-log4shell

Predložene mitigacijske mjere su redom:

1. Identificiranje ranjivog softvera/uređaja:
Skripta koja otkriva log4j verzije na datotečnim sustavima, uključujući rekurzivnu pretragu
https://github.com/mergebase/log4j-detector
Automatiziran i opsežan skener za pronalaženje ranjivih log4j sustava
https://github.com/fullhunt/log4j-scan

2. Preporučena mjera uklanjanja ranjivosti - ažuriranje Log4j:
Najbolja zaštita od ove ranjivosti je ažurirati sve verzije 2.x Log4j na 2.15.0.
https://github.com/apache/logging-log4j2
https://github.com/corretto/hotpatch-for-apache-log4j2
https://github.com/simonis/Log4jPatch

3. Ostale mitigacijske mjere - Onemogućiti slanje zahtjeva Log4j biblioteci:
U slučaju nemogućnosti ažuriranja verzije Log4j biblioteke potrebno je omogućiti zabranu slanja zahtjeva navedenoj biblioteci:
 ‐Dlog4j2.formatMsgNoLookups=true
na JVM onemogućit će Log4j slanje zahtjeva i zaštititi sustav od eksploatacije.

4. Primjena zadnjih dostupnih ažuriranja tehnologija/uređaja čiji uređaji koriste Log4j

5. Blokiranje potencijalno zloćudnih zahtjeva na WAF-u.
JNDI pretraživanja potrebna za iskorištavanje ranjivosti koriste specifičan prefiks za Log4j kako bi se izvelo slanje zahtjeva. Svaki zahtjev s nizom poput `${jndi:xyz}` potaknut će JNDI da pošalje zahtjev prema potencijalno zloćudnoj adresi/domeni. U slučaju da niste u mogućnosti ažurirati biblioteku (točka 2.) ili onemogućiti slanje zahtjeva (točka 3.) preporučamo da dodate prefiks `${jndi:` na vatrozidu web aplikacije u crnu listu (engl. Blacklist) kako bi vatrozid blokirao potencijalne pokušaje iskorištavanja. Potrebno je imati na umu da je ovaj pristup, po svojoj prirodi, nepotpun i moguće je ovu vrstu „zaštite“ zaobići, ali ovaj jednostavan pristup otežati će skeniranje Vaših informacijskih sustava.

6. Primjena dodatnih alata za provjeru:
https://github.com/Neo23x0/log4shell-detector
https://github.com/darkarnium/CVE-2021-44228
https://log4shell.huntress.com/
https://github.com/Diverto/nse-log4shell

- - - IZDVOJITE MINUTU I PODRŽITE REP.HR - - -

Ako redovito posjećujete rep.hr, vjerojatno ste svjesni da objavljujemo niz članaka koji sadrže zanimljive i društveno korisne informacije. Nastojimo ukazati na nepravilnosti i prevare, promovirati uspjehe informatičara na natjecanjima, predstaviti nove projekte i inicijative i pružiti niz drugih informacija. Iako portal ima određene marketinško-prodajne aktivnosti, proizvodnja takvog sadržaja košta i - kao i drugim medijima - dodatni izvor prihoda pomogao bi u daljnjem rastu i razvoju. Brojni portali uveli su proteklih mjeseci zaključavanje članaka i pretplatu, a mi smo se odlučili za opciju dobrovoljnih priloga za koje se izdaju računi.

Podržati nas možete već s pet kuna, na što trebate potrošiti manje od minute. Dovoljno je izabrati sličicu s jednim od ponuđenih iznosa, a nakon toga u novom prozoru izabrati način plaćanja. Radi jednostavnosti i brzine plaćanja, podržane su mobilne aplikacije KEKS Pay, Aircash i Settle te kriptovalute. Uplata se realizira putem partnerske tvrtke Neoinfo i sustava mobilepaymentsgateway.com Sustav za plaćanja je trenutnu u testnoj fazi te se ispričavamo ako u početku bude nekih nesavršenosti. Ako uočite nekakav nedostatak ili vas zanima više informacija o sustavu možete nas kontaktirati na info@rep.hr

Izaberite iznos podrške: