Itt egy Log4j hiba, ami még a Minecraft-ot is érinti

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi(külső hivatkozás) és Paypal(külső hivatkozás)!

kami911 képe

A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228(külső hivatkozás), amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista(külső hivatkozás), amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

Frissítés: 2021. december 14.:

Időközben kijött a Log4J 2.16-os verzió is: https://logging.apache.org/log4j/2.x/download.html(külső hivatkozás)

Kiválóan rendszerezett és gyakran frissített információ, az frissített szoftverekről, támadó IP-ről, keresőeszközökről.(külső hivatkozás)

iocs(külső hivatkozás) Tartalmazza a kompromitálódságra utaló jeleket, mint például az IP-címek, amelyek betőrni próbálnak, stb..
mitigation(külső hivatkozás) Tartalmazza a kárenyhítéssel kapcsolatos információkat, például a szkennelési tevékenység észlelésére szolgáló regexeket és egyebeket.
scanning(külső hivatkozás) A Log4j sebezhetőség kereséséhez használt módszerekre és eszközökre való hivatkozásokat tartalmaz.
software(külső hivatkozás) Az ismert sebezhető és nem sebezhető szoftverek listáját tartalmazza.

Frissítés: 2021. december 12.:

Sérülékenység kereső a Silent Signal-tól(külső hivatkozás)

Létrehoztunk egy Burp Extender bővítményt, amely aktív szkennerellenőrzésként regisztrálja magát, és kétféle hasznos terhet generál. Az egyszerűbbik csak a kiszolgálónévre tartalmaz változóbővítést, míg a bonyolultabbik a felhasználónevet is tartalmazza a USER és USERNAME használatával a Unix-szerű és a Windows operációs rendszerekkel való kompatibilitás érdekében. A szinkron interakciókat a beépített szkenner naplózza, míg egy háttérszál percenként egyszer lekérdezi a Collaborator interakciókat, hogy tesztelje a rejtett kiszolgálókat és szolgáltatásokat.

Javítás a Minecraft-ban

  • A játékindítóban a ki kell választani a telepített játékot és a „...”-ra kattintani.
  • Kiválasztani az „Edit” (Szerkesztés) lehetőséget, majd a „More options” („További beállítások”) lehetőségre kattintani,
  • Be kell illeszteni az indító scriptnél a „-jar” elé ez a részt:
Dlog4j2.formatMsgNoLookups=true
  • Mentés és a mehet a játék!

A hibáról részletesebben

A Log4j JNDI támogatása nem korlátozta, hogy milyen neveket lehetett feloldani. Egyes protokollok nem biztonságosak, vagy távoli kódfuttatást tesznek lehetővé. A Log4j most már alapértelmezés szerint csak a java, ldap és ldaps protokollokra korlátozza a protokollokat, és az ldap protokollokat alapértelmezés szerint csak a helyi állomáson kiszolgált Java primitív objektumok elérésére korlátozza.

Az egyik vektor, amely lehetővé tette ennek a sebezhetőségnek a kitettségét, az volt, hogy a Log4j engedélyezte a Lookupok megjelenését a naplóüzenetekben. A Log4j 2.15.0-tól kezdve ez a funkció alapértelmezés szerint le van tiltva. Bár a felhasználóknak lehetőségük van a Lookupok engedélyezésére, a felhasználóknak nem ajánlott engedélyezni ezt a funkciót.

Érintett verziók: 2.0-beta9 - 2.14.1

Érintett jar fájl: log4j-core.jar

Azok számára, akik nem tudnak frissíteni a 2.15.0-ra,

  • a >=2.10-es kiadásokban ez a sebezhetőség csökkenthető a
log4j2.formatMsgNoLookups

system property (LOG4J2-3198(külső hivatkozás)), vagy a

LOG4J_FORMAT_MSG_NO_LOOKUPS

környezeti változó true értékre állításával.

  • a >=2.7 és <=2.14.1 közötti kiadásokban a PatternLayout minta megadható úgy, hogy
%m{nolookups}

használjon az %m minta helyett. (LOG4J2-2109(külső hivatkozás))

  • A 2.0-beta9 és 2.10.0 közötti kiadások esetében a JndiLookup osztály eltávolítása a classpath-ból: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

A 6u211, 7u201, 8u191, és 11.0.1 nagyobb JDK verziókat nem érintik az LDAP támadási vektor. Ebben a verzióban a com.sun.jndi.ldap.object.trustURLCodebase értéke false, ami azt jelenti, hogy az JNDI nem tud betölteni távoli kódot LDAP-on keresztül.

Programok a felderítéshez

Gyártói érintettségek

Az érintett és nem érintett szoftverek listája(külső hivatkozás).

Apple(külső hivatkozás) Tesla(külső hivatkozás) Minecraft(külső hivatkozás)
Tencent(külső hivatkozás) Apache Solr(külső hivatkozás) PulseSecure(külső hivatkozás)
Steam(külső hivatkozás) Apache Druid(külső hivatkozás) UniFi(külső hivatkozás)
Twitter(külső hivatkozás) Apache Struts2(külső hivatkozás) VMWare(külső hivatkozás)
Baidu(külső hivatkozás) IBM Qradar SIEM(külső hivatkozás) Blender(külső hivatkozás)
DIDI(külső hivatkozás) PaloAlto Panorama(külső hivatkozás) Google(külső hivatkozás)
JD(külső hivatkozás) ElasticSearch(külső hivatkozás) Webex(külső hivatkozás)
NetEase(külső hivatkozás) ghidra(külső hivatkozás) LinkedIn(külső hivatkozás)
CloudFlare(külső hivatkozás) ghidra server(külső hivatkozás) VMWarevCenter(külső hivatkozás)
Amazon(külső hivatkozás)   Speed camera LOL(külső hivatkozás)

Sérülékenység ellenőrzés

Forrás Megjegyzés URL
crypt0jan Perform a scan of a single host (using Powershell) to see if it's vulnerable https://github.com/crypt0jan/log4j-powershell-checker(külső hivatkozás)
Huntress Online Log4Shell Vulnerability Tester https://log4shell.huntress.com/(külső hivatkozás)
Canary Tokens Log4Shell Vulnerability Tester https://canarytokens.org/generate(külső hivatkozás)
Diverto Nmap NSE scripts to check against log4shell https://github.com/Diverto/nse-log4shell(külső hivatkozás)
righel Nmap NSE script to inject jndi payloads with customizable templates into HTTP targets https://github.com/righel/log4shell_nse(külső hivatkozás)
silentsignal Log4Shell scanner for Burp Suite https://github.com/silentsignal/burp-log4shell(külső hivatkozás)
Northwave Security Northwave Log4j CVE-2021-44228 checker https://github.com/NorthwaveSecurity/log4jcheck(külső hivatkozás)
Northwave Security Northwave Log4j CVE-2021-44228 checker Powershell version https://github.com/crypt0jan/log4j-powershell-checker(külső hivatkozás)
OlafHaalstra Scans a list of URLs with GET or POST request with user defined parameters https://github.com/OlafHaalstra/log4jcheck(külső hivatkozás)
Grype Open source vulnerability scanner (docker), picks up nested JARs containing log4j https://github.com/anchore/grype(külső hivatkozás)
logpresso Scans for java files that are vulnerable and may rename it for mitigation https://github.com/logpresso/CVE-2021-44228-Scanner(külső hivatkozás)
FullHunt Open detection and scanning tool (Python) for discovering and fuzzing for Log4J vulnerability https://github.com/fullhunt/log4j-scan(külső hivatkozás)
Dtact DIVD-2021-00038 log4j scanner Scan paths including archives for vulnerable log4 https://github.com/dtact/divd-2021-00038--log4j-scanner(külső hivatkozás)

Log4J használat ellenőrzés

Forrás Megjegyzés URL
Neo23x0 Florian Roth Log4j2 detection script https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b(külső hivatkozás)
sp4ir Powershell script to detect Log4Shell https://github.com/sp4ir/incidentresponse/blob/35a2faae8512884bcd753f0de3fa1adc6ec326ed/Get-Log4shellVuln.ps1(külső hivatkozás)
NCCgroup Version hashes (MD5, SHA1 and SHA256) for log4j2 versions https://github.com/nccgroup/Cyber-Defence/tree/master/Intelligence/CVE-2021-44228(külső hivatkozás)
1lann Scans a file or folder recursively for jar files that may be vulnerable https://github.com/1lann/log4shelldetect(külső hivatkozás)
Syft Open source SBOM scanner, can detect all dependencies including log4j https://github.com/anchore/syft/(külső hivatkozás)
Devotech Powershell: Queries domain servers and scans for log4j-core files. (slow) https://github.com/devotech/check-log4j(külső hivatkozás)

A hibával összefüggő aktivitást mutató támadó vagy adatgyűjtő hosztok listája

The list of callback servers, updated by Greynoise https://gist.github.com/superducktoes/9b742f7b44c71b4a0d19790228ce85d8(külső hivatkozás)
The list of scanning IP's, updated by Greynoise https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217(külső hivatkozás)
Threatfox https://threatfox.abuse.ch/browse/tag/log4j/(külső hivatkozás)
UrlHaus https://urlhaus.abuse.ch/browse/tag/log4j/(külső hivatkozás)
Malware Bazaar https://bazaar.abuse.ch/browse/tag/log4j/(külső hivatkozás)
CTCI https://docs.google.com/spreadsheets/d/e/2PACX-1vT1hFu_VlZazvc_xsNvXK2GJbPBCDvhgjfCTbNHJoP6ySFu05sIN09neV73tr-oYm8lo42qI_Y0whNB/pubhtml#(külső hivatkozás)
Malwar3Ninja https://twitter.com/bad_packets/status/1469225135504650240(külső hivatkozás)
GovCert.ch https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/(külső hivatkozás)
isc.sans.edu https://isc.sans.edu/diary/Log4Shell+exploited+to+implant+coin+miners/28124(külső hivatkozás)
cert-agid.gov.it https://cert-agid.gov.it/download/log4shell-iocs.txt(külső hivatkozás)

Hozzászólások

kami911 képe

Via Silent Signal Kft.

Értékelés: 

0
Még nincs értékelve

Via Silent Signal Kft.

Az Alibaba biztonsági csapata kritikus sérülékenységet azonosított a rendkívül elterjedt Log4j2, Java alkalmazások naplózásához használt könyvtárban.

A probléma távoli kódvégrehajtást tesz lehetővé, ha a támadó által befolyásolható adat megjelenik log üzenetben - figyelembe véve az érintett könyvtár funkcionalitását ez a feltétel a Java alapú alkalmazások széles körénél fennáll.

A helyzetet tovább rontja, hogy az érintett könyvtár számos kereskedelmi forgalomban kapható termék függőségeként is telepítésre kerülhet. Az érintett szoftverek pontos körét nehéz felmérni, de az biztos, hogy pl. a Struts2, Solr, Druid és Flink Apache szoftverek is érintettek.

A sérülékenység kezdeti javítása ezen kívül hiányos volt, védelmet csak az log4j-2.15.0-rc2 csomagra történő frissítés biztosít.  Elkerülő megoldásként ezen kívül alkalmazható a "-Dlog4j2.formatMsgNoLookups=true" futásidejű konfiguráció, ami letiltja a sérülékeny kód útvonalat.

Mivel a sérülékenység kihasználása jelenlegi információk szerint a támadó hosztjáról történő kód betöltéssel történhet (JDNI), a kimenő kapcsolatokat korlátozó tűzfal konfigurációk hatékonyan csökkenthetik a sérülékenységből adódó kockázatot.

A sérülékenységet jelenleg aktívan kihasználják, azért a sérülékeny rendszerek azonosítása (pl. szoftver leltár alapján) és a sérülékenység kezelése kiemelt prioritással kezelendő.

Javasoljuk a szervezeten belül az információ minél szélesebb körű terjesztését annak érdekében, hogy minden érintett szolgáltatás azonosításra és javításra kerüljön.

Ez azért egy elég nagy bazzmeg

Értékelés: 

0
Még nincs értékelve

Azoknak, akik nem értik, hogy miről van szó:

Most ez pont a PC-ket (notikat) ez annyira nem érinti, kivéve, ha valaki házi szervert üzemeltet (vagy NAS-t esetleg), de minden egyéb ami az Internettel kapcsolatos, JAVA-t futtat, ideértve az okos eszközöket, mobiltelefonokat (a régieket is!) azzal gáz van, a Minecraft csak egyik érintett. Közvetve mindenki érintett lehet, akinek netes jelszava van. Az ahhoz tartozó adatok is érintettek lehetnek.

Bocs, hogy a címben leírtam, de ez tényleg az.

kami911 képe

Ez azért egy elég nagy bazzmeg

Értékelés: 

0
Még nincs értékelve

#2 Igen igen, ebből elég sok meló lesz mindenkinek, aki üzemeltet.

kimarite képe

Mindenkit sürgetnek, hogy térjenek át a Log4j 2.15.0 verzióra

Értékelés: 

0
Még nincs értékelve

A felfedezés után az Apache is gyorsan lépett, kiadtak egy javítást(külső hivatkozás), és mindenkit sürgetnek, hogy a lehető leghamarabb térjenek át a Log4j 2.15.0 verzióra. Ugyanakkor az is nagy gondot okoz, hogy bár a nagyvállalati rendszereket, mint például az Amazon felhőszolgáltatása, gyorsan lehet frissíteni, a számtalan harmadik fél esetében ez biztosan lassabb folyamat lesz.

https://itcafe.hu/hir/apache_log4shell_sebezhetoseg.html(külső hivatkozás)

kami911 képe

Mindenkit sürgetnek, hogy térjenek át a Log4j 2.15.0 verzióra

Értékelés: 

0
Még nincs értékelve

#3 igen, ezt írtam az első mondatban. 2.15.

A hétvégén már voltak aktív

Értékelés: 

0
Még nincs értékelve

#4 Ami furcsa, hogy nálam is (desktop, nem szerver!) szaporodnak a bejövő kukucsok olyan címekről, amit merőben szokatlan, nagyon eltérnek az eddigi néhánytól... de persze, lehet semmi köze ehhez, egyszerűen csak jön a karácsony, mindenki nyüzsög...