A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

• Apache Struts 2
• Apache Solr
• Apache Druid
• Apache Flink
• ElasticSearch
• Flume
• Apache Dubbo
• Logstash
• Spring-Boot-starter-log4j2
• Spring és Spring Boot alapú alkalmazások
• és rengeteg más Java alkalmazás. Az érintett és nem érintett szoftverek listája.

Frissítés: 2021. december 14.:

Időközben kijött a Log4J 2.16-os verzió is: https://logging.apache.org/log4j/2.x/download.html

Kiválóan rendszerezett és gyakran frissített információ, az frissített szoftverekről, támadó IP-ről, keresőeszközökről.

iocs	Tartalmazza a kompromitálódságra utaló jeleket, mint például az IP-címek, amelyek betőrni próbálnak, stb..
mitigation	Tartalmazza a kárenyhítéssel kapcsolatos információkat, például a szkennelési tevékenység észlelésére szolgáló regexeket és egyebeket.
scanning	A Log4j sebezhetőség kereséséhez használt módszerekre és eszközökre való hivatkozásokat tartalmaz.
software	Az ismert sebezhető és nem sebezhető szoftverek listáját tartalmazza.

Frissítés: 2021. december 12.:

Sérülékenység kereső a Silent Signal-tól

Létrehoztunk egy Burp Extender bővítményt, amely aktív szkennerellenőrzésként regisztrálja magát, és kétféle hasznos terhet generál. Az egyszerűbbik csak a kiszolgálónévre tartalmaz változóbővítést, míg a bonyolultabbik a felhasználónevet is tartalmazza a USER és USERNAME használatával a Unix-szerű és a Windows operációs rendszerekkel való kompatibilitás érdekében. A szinkron interakciókat a beépített szkenner naplózza, míg egy háttérszál percenként egyszer lekérdezi a Collaborator interakciókat, hogy tesztelje a rejtett kiszolgálókat és szolgáltatásokat.

Javítás a Minecraft-ban

• A játékindítóban a ki kell választani a telepített játékot és a „...”-ra kattintani.
• Kiválasztani az „Edit” (Szerkesztés) lehetőséget, majd a „More options” („További beállítások”) lehetőségre kattintani,
• Be kell illeszteni az indító scriptnél a „-jar” elé ez a részt:

Dlog4j2.formatMsgNoLookups=true

• Mentés és a mehet a játék!

A hibáról részletesebben

A Log4j JNDI támogatása nem korlátozta, hogy milyen neveket lehetett feloldani. Egyes protokollok nem biztonságosak, vagy távoli kódfuttatást tesznek lehetővé. A Log4j most már alapértelmezés szerint csak a java, ldap és ldaps protokollokra korlátozza a protokollokat, és az ldap protokollokat alapértelmezés szerint csak a helyi állomáson kiszolgált Java primitív objektumok elérésére korlátozza.

Az egyik vektor, amely lehetővé tette ennek a sebezhetőségnek a kitettségét, az volt, hogy a Log4j engedélyezte a Lookupok megjelenését a naplóüzenetekben. A Log4j 2.15.0-tól kezdve ez a funkció alapértelmezés szerint le van tiltva. Bár a felhasználóknak lehetőségük van a Lookupok engedélyezésére, a felhasználóknak nem ajánlott engedélyezni ezt a funkciót.

Érintett verziók: 2.0-beta9 - 2.14.1

Érintett jar fájl: log4j-core.jar

Azok számára, akik nem tudnak frissíteni a 2.15.0-ra,

• a >=2.10-es kiadásokban ez a sebezhetőség csökkenthető a

log4j2.formatMsgNoLookups

system property (LOG4J2-3198), vagy a

LOG4J_FORMAT_MSG_NO_LOOKUPS

környezeti változó true értékre állításával.

• a >=2.7 és <=2.14.1 közötti kiadásokban a PatternLayout minta megadható úgy, hogy

%m{nolookups}

használjon az %m minta helyett. (LOG4J2-2109)

• A 2.0-beta9 és 2.10.0 közötti kiadások esetében a JndiLookup osztály eltávolítása a classpath-ból: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

A 6u211, 7u201, 8u191, és 11.0.1 nagyobb JDK verziókat nem érintik az LDAP támadási vektor. Ebben a verzióban a com.sun.jndi.ldap.object.trustURLCodebase értéke false, ami azt jelenti, hogy az JNDI nem tud betölteni távoli kódot LDAP-on keresztül.

• https://snyk.io/blog/log4j-rce-log4shell-vulnerability-cve-2021-4428/
• https://logging.apache.org/log4j/2.x/security.html
• https://www.lunasec.io/docs/blog/log4j-zero-day/
• https://www.cnblogs.com/yyhuni/p/15088134.html
• https://issues.apache.org/jira/browse/LOG4J2-2109
• https://issues.apache.org/jira/browse/LOG4J2-3198
• NCSC-NL advisory
• MITRE
• https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce
• https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
• https://www.greynoise.io/viz/query/?gnql=tags%3A%22Apache%20Log4j%20RCE%20Attempt%22
• https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
• https://www.fortiguard.com/threat-signal-report/4335
• https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
• https://blog.silentsignal.eu/2021/12/12/our-new-tool-for-enumerating-hidden-log4shell-affected-hosts/
• https://github.com/Puliczek/CVE-2021-44228-PoC-log4j-bypass-words
• https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes
• Launchpad
• Debian
• https://security.netapp.com/advisory/ntap-20211210-0007/
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
• http://packetstormsecurity.com/files/165225/Apache-Log4j2-2.14.1-Remote-Code-Execution.html
• http://www.openwall.com/lists/oss-security/2021/12/10/1
• http://www.openwall.com/lists/oss-security/2021/12/10/2
• http://www.openwall.com/lists/oss-security/2021/12/10/3
• https://github.com/advisories/GHSA-jfh8-c2jp-5v3q
• http://github.com/YfryTchsGD/Log4jAttackSurface
• https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/
• https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

Programok a felderítéshez

• Sérülékenység kereső a Silent Signal-tól
• https://github.com/Neo23x0/log4shell-detector
• https://github.com/logpresso/CVE-2021-44228-Scanner

Gyártói érintettségek

Az érintett és nem érintett szoftverek listája.

Apple	Tesla	Minecraft
Tencent	Apache Solr	PulseSecure
Steam	Apache Druid	UniFi
Twitter	Apache Struts2	VMWare
Baidu	IBM Qradar SIEM	Blender
DIDI	PaloAlto Panorama	Google
JD	ElasticSearch	Webex
NetEase	ghidra	LinkedIn
CloudFlare	ghidra server	VMWarevCenter
Amazon		Speed camera LOL

Sérülékenység ellenőrzés

Forrás	Megjegyzés	URL
crypt0jan	Perform a scan of a single host (using Powershell) to see if it's vulnerable	https://github.com/crypt0jan/log4j-powershell-checker
Huntress	Online Log4Shell Vulnerability Tester	https://log4shell.huntress.com/
Canary Tokens	Log4Shell Vulnerability Tester	https://canarytokens.org/generate
Diverto	Nmap NSE scripts to check against log4shell	https://github.com/Diverto/nse-log4shell
righel	Nmap NSE script to inject jndi payloads with customizable templates into HTTP targets	https://github.com/righel/log4shell_nse
silentsignal	Log4Shell scanner for Burp Suite	https://github.com/silentsignal/burp-log4shell
Northwave Security	Northwave Log4j CVE-2021-44228 checker	https://github.com/NorthwaveSecurity/log4jcheck
Northwave Security	Northwave Log4j CVE-2021-44228 checker Powershell version	https://github.com/crypt0jan/log4j-powershell-checker
OlafHaalstra	Scans a list of URLs with GET or POST request with user defined parameters	https://github.com/OlafHaalstra/log4jcheck
Grype	Open source vulnerability scanner (docker), picks up nested JARs containing log4j	https://github.com/anchore/grype
logpresso	Scans for java files that are vulnerable and may rename it for mitigation	https://github.com/logpresso/CVE-2021-44228-Scanner
FullHunt	Open detection and scanning tool (Python) for discovering and fuzzing for Log4J vulnerability	https://github.com/fullhunt/log4j-scan
Dtact	DIVD-2021-00038 log4j scanner Scan paths including archives for vulnerable log4	https://github.com/dtact/divd-2021-00038--log4j-scanner

Log4J használat ellenőrzés

Forrás	Megjegyzés	URL
Neo23x0	Florian Roth Log4j2 detection script	https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
sp4ir	Powershell script to detect Log4Shell	https://github.com/sp4ir/incidentresponse/blob/35a2faae8512884bcd753f0de3fa1adc6ec326ed/Get-Log4shellVuln.ps1
NCCgroup	Version hashes (MD5, SHA1 and SHA256) for log4j2 versions	https://github.com/nccgroup/Cyber-Defence/tree/master/Intelligence/CVE-2021-44228
1lann	Scans a file or folder recursively for jar files that may be vulnerable	https://github.com/1lann/log4shelldetect
Syft	Open source SBOM scanner, can detect all dependencies including log4j	https://github.com/anchore/syft/
Devotech	Powershell: Queries domain servers and scans for log4j-core files. (slow)	https://github.com/devotech/check-log4j

A hibával összefüggő aktivitást mutató támadó vagy adatgyűjtő hosztok listája

The list of callback servers, updated by Greynoise	https://gist.github.com/superducktoes/9b742f7b44c71b4a0d19790228ce85d8
The list of scanning IP's, updated by Greynoise	https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
Threatfox	https://threatfox.abuse.ch/browse/tag/log4j/
UrlHaus	https://urlhaus.abuse.ch/browse/tag/log4j/
Malware Bazaar	https://bazaar.abuse.ch/browse/tag/log4j/
CTCI	https://docs.google.com/spreadsheets/d/e/2PACX-1vT1hFu_VlZazvc_xsNvXK2GJbPBCDvhgjfCTbNHJoP6ySFu05sIN09neV73tr-oYm8lo42qI_Y0whNB/pubhtml#
Malwar3Ninja	https://twitter.com/bad_packets/status/1469225135504650240
GovCert.ch	https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
isc.sans.edu	https://isc.sans.edu/diary/Log4Shell+exploited+to+implant+coin+miners/28124
cert-agid.gov.it	https://cert-agid.gov.it/download/log4shell-iocs.txt