Log4shell

kami911 képe

Rendkívüli tájékoztató Ransomware/Malware terjesztés a Log4Shell sérülékenység kihasználásával kapcsolatban

Az előzőleg talált: „Itt egy Log4j hiba, ami még a Minecraft-ot is érinti” hiba nyomán új Log4J kiadás készült 2.16-os verziószámmal, amelyet különféle káros kódok kezdtek kihasználni:

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki a Log4Shell sérülékenység kihasználását követő ransomware, illetve egyéb káros kódok telepítésével kapcsolatban.

2021. december 9.-én ismertté vált „Log4Shell” zero-day sérülékenység (CVE-2021-44228) az Apache Log4j Java könyvtárát érinti. A távoli kódfuttatásra módot adó sérülékenység kihasználásával nemzetközi jelzések alapján a támadók többféle (például Khonsari családba tartozó) zsarolóvírust, és más (például Orcus elnevezésű távoli hozzáférést biztosító „trójai” malware-t) telepítenek a célrendszerekre.

kami911 képe

Itt egy Log4j hiba, ami még a Minecraft-ot is érinti

A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

  • A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

  • Apache Struts 2
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • ElasticSearch
  • Flume
  • Apache Dubbo
  • Logstash
  • Spring-Boot-starter-log4j2
  • Spring és Spring Boot alapú alkalmazások
  • és rengeteg más Java alkalmazás. Az érintett és nem érintett szoftverek listája.

Frissítés: 2021. december 14.:

Időközben kijött a Log4J 2.16-os verzió is: https://logging.apache.org/log4j/2.x/download.html

Kiválóan rendszerezett és gyakran frissített információ, az frissített szoftverekről, támadó IP-ről, keresőeszközökről.

iocs Tartalmazza a kompromitálódságra utaló jeleket, mint például az IP-címek, amelyek betőrni próbálnak, stb..
mitigation Tartalmazza a kárenyhítéssel kapcsolatos információkat, például a szkennelési tevékenység észlelésére szolgáló regexeket és egyebeket.
scanning A Log4j sebezhetőség kereséséhez használt módszerekre és eszközökre való hivatkozásokat tartalmaz.
software Az ismert sebezhető és nem sebezhető szoftverek listáját tartalmazza.

Frissítés: 2021. december 12.:

Sérülékenység kereső a Silent Signal-tól

Létrehoztunk egy Burp Extender bővítményt, amely aktív szkennerellenőrzésként regisztrálja magát, és kétféle hasznos terhet generál. Az egyszerűbbik csak a kiszolgálónévre tartalmaz változóbővítést, míg a bonyolultabbik a felhasználónevet is tartalmazza a USER és USERNAME használatával a Unix-szerű és a Windows operációs rendszerekkel való kompatibilitás érdekében. A szinkron interakciókat a beépített szkenner naplózza, míg egy háttérszál percenként egyszer lekérdezi a Collaborator interakciókat, hogy tesztelje a rejtett kiszolgálókat és szolgáltatásokat.

Javítás a Minecraft-ban

  • A játékindítóban a ki kell választani a telepített játékot és a „...”-ra kattintani.
  • Kiválasztani az „Edit” (Szerkesztés) lehetőséget, majd a „More options” („További beállítások”) lehetőségre kattintani,
  • Be kell illeszteni az indító scriptnél a „-jar” elé ez a részt:
Dlog4j2.formatMsgNoLookups=true
  • Mentés és a mehet a játék!
kami911 képe

Nehogy már Apache Commons Text programkönyvtár vigye a vadászpuskát!

A nyílt forráskódú Apache Commons Text programkönyvtár távoli kódfuttatási hibája miatt néhányan aggódnak, hogy a következő Log4Shell lehet belőle. De a legtöbb kiberbiztonsági kutató szerint azonban a jelenlegi helyzet közel sem olyan aggasztó. Néztétek már, hogy titeket érint ez a probléma?

kami911 képe

Újabb hibát javít a Log4J 2.16

Az előzőleg talált: „Itt egy Log4j hiba, ami még a Minecraft-ot is érinti” hiba nyomán új Log4J kiadás készült 2.16-os verziószámmal.

Úgy találták, hogy az Apache Log4j 2.15.0-ban található CVE-2021-44228 javítás bizonyos nem alapértelmezett konfigurációkban nem volt teljes. Ez lehetővé tehette a Thread Context Map (MDC) bemeneti adatok feletti ellenőrzéssel rendelkező támadók számára, amikor a naplózási konfiguráció nem alapértelmezett Pattern Layout-ot használ, amely vagy egy Context Lookup (például $$${ctx:loginId}) vagy egy Thread Context Map mintát (%X, %mdc vagy %MDC) tartalmaz, hogy rosszindulatú bemeneti adatokat készítsenek egy JNDI Lookup minta segítségével, ami egy szolgáltatásmegtagadási (DOS) támadást eredményez. A Log4j 2.15.0 alapértelmezés szerint a JNDI LDAP-keresést a localhost-ra korlátozza. Vegye figyelembe, hogy a korábbi, konfigurációval járó enyhítések, például a log4j2.noFormatMsgLookup rendszer tulajdonság true értékre állítása NEM enyhíti ezt a konkrét sebezhetőséget.

Feliratkozás RSS - Log4shell csatornájára