Itt egy Log4j hiba, ami még a Minecraft-ot is érinti

kami911 képe

A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

  • Apache Struts 2
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • ElasticSearch
  • Flume
  • Apache Dubbo
  • Logstash
  • Spring-Boot-starter-log4j2
  • Spring és Spring Boot alapú alkalmazások
  • és rengeteg más Java alkalmazás. Az érintett és nem érintett szoftverek listája.

Frissítés: 2021. december 14.:

Időközben kijött a Log4J 2.16-os verzió is: https://logging.apache.org/log4j/2.x/download.html

Kiválóan rendszerezett és gyakran frissített információ, az frissített szoftverekről, támadó IP-ről, keresőeszközökről.

iocs Tartalmazza a kompromitálódságra utaló jeleket, mint például az IP-címek, amelyek betőrni próbálnak, stb..
mitigation Tartalmazza a kárenyhítéssel kapcsolatos információkat, például a szkennelési tevékenység észlelésére szolgáló regexeket és egyebeket.
scanning A Log4j sebezhetőség kereséséhez használt módszerekre és eszközökre való hivatkozásokat tartalmaz.
software Az ismert sebezhető és nem sebezhető szoftverek listáját tartalmazza.

Frissítés: 2021. december 12.:

Sérülékenység kereső a Silent Signal-tól

Létrehoztunk egy Burp Extender bővítményt, amely aktív szkennerellenőrzésként regisztrálja magát, és kétféle hasznos terhet generál. Az egyszerűbbik csak a kiszolgálónévre tartalmaz változóbővítést, míg a bonyolultabbik a felhasználónevet is tartalmazza a USER és USERNAME használatával a Unix-szerű és a Windows operációs rendszerekkel való kompatibilitás érdekében. A szinkron interakciókat a beépített szkenner naplózza, míg egy háttérszál percenként egyszer lekérdezi a Collaborator interakciókat, hogy tesztelje a rejtett kiszolgálókat és szolgáltatásokat.

Javítás a Minecraft-ban

  • A játékindítóban a ki kell választani a telepített játékot és a „...”-ra kattintani.
  • Kiválasztani az „Edit” (Szerkesztés) lehetőséget, majd a „More options” („További beállítások”) lehetőségre kattintani,
  • Be kell illeszteni az indító scriptnél a „-jar” elé ez a részt:
Dlog4j2.formatMsgNoLookups=true
  • Mentés és a mehet a játék!

A hibáról részletesebben

A Log4j JNDI támogatása nem korlátozta, hogy milyen neveket lehetett feloldani. Egyes protokollok nem biztonságosak, vagy távoli kódfuttatást tesznek lehetővé. A Log4j most már alapértelmezés szerint csak a java, ldap és ldaps protokollokra korlátozza a protokollokat, és az ldap protokollokat alapértelmezés szerint csak a helyi állomáson kiszolgált Java primitív objektumok elérésére korlátozza.

Az egyik vektor, amely lehetővé tette ennek a sebezhetőségnek a kitettségét, az volt, hogy a Log4j engedélyezte a Lookupok megjelenését a naplóüzenetekben. A Log4j 2.15.0-tól kezdve ez a funkció alapértelmezés szerint le van tiltva. Bár a felhasználóknak lehetőségük van a Lookupok engedélyezésére, a felhasználóknak nem ajánlott engedélyezni ezt a funkciót.

Érintett verziók: 2.0-beta9 - 2.14.1

Érintett jar fájl: log4j-core.jar

Azok számára, akik nem tudnak frissíteni a 2.15.0-ra,

  • a >=2.10-es kiadásokban ez a sebezhetőség csökkenthető a
log4j2.formatMsgNoLookups

system property (LOG4J2-3198), vagy a

LOG4J_FORMAT_MSG_NO_LOOKUPS

környezeti változó true értékre állításával.

  • a >=2.7 és <=2.14.1 közötti kiadásokban a PatternLayout minta megadható úgy, hogy
%m{nolookups}

használjon az %m minta helyett. (LOG4J2-2109)

  • A 2.0-beta9 és 2.10.0 közötti kiadások esetében a JndiLookup osztály eltávolítása a classpath-ból: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

A 6u211, 7u201, 8u191, és 11.0.1 nagyobb JDK verziókat nem érintik az LDAP támadási vektor. Ebben a verzióban a com.sun.jndi.ldap.object.trustURLCodebase értéke false, ami azt jelenti, hogy az JNDI nem tud betölteni távoli kódot LDAP-on keresztül.

Programok a felderítéshez

Gyártói érintettségek

Az érintett és nem érintett szoftverek listája.

Apple Tesla Minecraft
Tencent Apache Solr PulseSecure
Steam Apache Druid UniFi
Twitter Apache Struts2 VMWare
Baidu IBM Qradar SIEM Blender
DIDI PaloAlto Panorama Google
JD ElasticSearch Webex
NetEase ghidra LinkedIn
CloudFlare ghidra server VMWarevCenter
Amazon   Speed camera LOL

Sérülékenység ellenőrzés

Forrás Megjegyzés URL
crypt0jan Perform a scan of a single host (using Powershell) to see if it's vulnerable https://github.com/crypt0jan/log4j-powershell-checker
Huntress Online Log4Shell Vulnerability Tester https://log4shell.huntress.com/
Canary Tokens Log4Shell Vulnerability Tester https://canarytokens.org/generate
Diverto Nmap NSE scripts to check against log4shell https://github.com/Diverto/nse-log4shell
righel Nmap NSE script to inject jndi payloads with customizable templates into HTTP targets https://github.com/righel/log4shell_nse
silentsignal Log4Shell scanner for Burp Suite https://github.com/silentsignal/burp-log4shell
Northwave Security Northwave Log4j CVE-2021-44228 checker https://github.com/NorthwaveSecurity/log4jcheck
Northwave Security Northwave Log4j CVE-2021-44228 checker Powershell version https://github.com/crypt0jan/log4j-powershell-checker
OlafHaalstra Scans a list of URLs with GET or POST request with user defined parameters https://github.com/OlafHaalstra/log4jcheck
Grype Open source vulnerability scanner (docker), picks up nested JARs containing log4j https://github.com/anchore/grype
logpresso Scans for java files that are vulnerable and may rename it for mitigation https://github.com/logpresso/CVE-2021-44228-Scanner
FullHunt Open detection and scanning tool (Python) for discovering and fuzzing for Log4J vulnerability https://github.com/fullhunt/log4j-scan
Dtact DIVD-2021-00038 log4j scanner Scan paths including archives for vulnerable log4 https://github.com/dtact/divd-2021-00038--log4j-scanner

Log4J használat ellenőrzés

Forrás Megjegyzés URL
Neo23x0 Florian Roth Log4j2 detection script https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
sp4ir Powershell script to detect Log4Shell https://github.com/sp4ir/incidentresponse/blob/35a2faae8512884bcd753f0de3fa1adc6ec326ed/Get-Log4shellVuln.ps1
NCCgroup Version hashes (MD5, SHA1 and SHA256) for log4j2 versions https://github.com/nccgroup/Cyber-Defence/tree/master/Intelligence/CVE-2021-44228
1lann Scans a file or folder recursively for jar files that may be vulnerable https://github.com/1lann/log4shelldetect
Syft Open source SBOM scanner, can detect all dependencies including log4j https://github.com/anchore/syft/
Devotech Powershell: Queries domain servers and scans for log4j-core files. (slow) https://github.com/devotech/check-log4j

A hibával összefüggő aktivitást mutató támadó vagy adatgyűjtő hosztok listája

The list of callback servers, updated by Greynoise https://gist.github.com/superducktoes/9b742f7b44c71b4a0d19790228ce85d8
The list of scanning IP's, updated by Greynoise https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
Threatfox https://threatfox.abuse.ch/browse/tag/log4j/
UrlHaus https://urlhaus.abuse.ch/browse/tag/log4j/
Malware Bazaar https://bazaar.abuse.ch/browse/tag/log4j/
CTCI https://docs.google.com/spreadsheets/d/e/2PACX-1vT1hFu_VlZazvc_xsNvXK2GJbPBCDvhgjfCTbNHJoP6ySFu05sIN09neV73tr-oYm8lo42qI_Y0whNB/pubhtml#
Malwar3Ninja https://twitter.com/bad_packets/status/1469225135504650240
GovCert.ch https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
isc.sans.edu https://isc.sans.edu/diary/Log4Shell+exploited+to+implant+coin+miners/28124
cert-agid.gov.it https://cert-agid.gov.it/download/log4shell-iocs.txt

Hozzászólások

kami911 képe

Via Silent Signal Kft.

Értékelés: 

0
Még nincs értékelve

Via Silent Signal Kft.

Az Alibaba biztonsági csapata kritikus sérülékenységet azonosított a rendkívül elterjedt Log4j2, Java alkalmazások naplózásához használt könyvtárban.

A probléma távoli kódvégrehajtást tesz lehetővé, ha a támadó által befolyásolható adat megjelenik log üzenetben - figyelembe véve az érintett könyvtár funkcionalitását ez a feltétel a Java alapú alkalmazások széles körénél fennáll.

A helyzetet tovább rontja, hogy az érintett könyvtár számos kereskedelmi forgalomban kapható termék függőségeként is telepítésre kerülhet. Az érintett szoftverek pontos körét nehéz felmérni, de az biztos, hogy pl. a Struts2, Solr, Druid és Flink Apache szoftverek is érintettek.

A sérülékenység kezdeti javítása ezen kívül hiányos volt, védelmet csak az log4j-2.15.0-rc2 csomagra történő frissítés biztosít.  Elkerülő megoldásként ezen kívül alkalmazható a "-Dlog4j2.formatMsgNoLookups=true" futásidejű konfiguráció, ami letiltja a sérülékeny kód útvonalat.

Mivel a sérülékenység kihasználása jelenlegi információk szerint a támadó hosztjáról történő kód betöltéssel történhet (JDNI), a kimenő kapcsolatokat korlátozó tűzfal konfigurációk hatékonyan csökkenthetik a sérülékenységből adódó kockázatot.

A sérülékenységet jelenleg aktívan kihasználják, azért a sérülékeny rendszerek azonosítása (pl. szoftver leltár alapján) és a sérülékenység kezelése kiemelt prioritással kezelendő.

Javasoljuk a szervezeten belül az információ minél szélesebb körű terjesztését annak érdekében, hogy minden érintett szolgáltatás azonosításra és javításra kerüljön.

Ez azért egy elég nagy bazzmeg

Értékelés: 

0
Még nincs értékelve

Azoknak, akik nem értik, hogy miről van szó:

Most ez pont a PC-ket (notikat) ez annyira nem érinti, kivéve, ha valaki házi szervert üzemeltet (vagy NAS-t esetleg), de minden egyéb ami az Internettel kapcsolatos, JAVA-t futtat, ideértve az okos eszközöket, mobiltelefonokat (a régieket is!) azzal gáz van, a Minecraft csak egyik érintett. Közvetve mindenki érintett lehet, akinek netes jelszava van. Az ahhoz tartozó adatok is érintettek lehetnek.

Bocs, hogy a címben leírtam, de ez tényleg az.

kami911 képe

Ez azért egy elég nagy bazzmeg

Értékelés: 

0
Még nincs értékelve

#2 Igen igen, ebből elég sok meló lesz mindenkinek, aki üzemeltet.

kimarite képe

Mindenkit sürgetnek, hogy térjenek át a Log4j 2.15.0 verzióra

Értékelés: 

0
Még nincs értékelve

A felfedezés után az Apache is gyorsan lépett, kiadtak egy javítást, és mindenkit sürgetnek, hogy a lehető leghamarabb térjenek át a Log4j 2.15.0 verzióra. Ugyanakkor az is nagy gondot okoz, hogy bár a nagyvállalati rendszereket, mint például az Amazon felhőszolgáltatása, gyorsan lehet frissíteni, a számtalan harmadik fél esetében ez biztosan lassabb folyamat lesz.

https://itcafe.hu/hir/apache_log4shell_sebezhetoseg.html

kami911 képe

Mindenkit sürgetnek, hogy térjenek át a Log4j 2.15.0 verzióra

Értékelés: 

0
Még nincs értékelve

#3 igen, ezt írtam az első mondatban. 2.15.

A hétvégén már voltak aktív

Értékelés: 

0
Még nincs értékelve

#4 Ami furcsa, hogy nálam is (desktop, nem szerver!) szaporodnak a bejövő kukucsok olyan címekről, amit merőben szokatlan, nagyon eltérnek az eddigi néhánytól... de persze, lehet semmi köze ehhez, egyszerűen csak jön a karácsony, mindenki nyüzsög...