A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

• Apache Struts 2
• Apache Solr
• Apache Druid
• Apache Flink
• ElasticSearch
• Flume
• Apache Dubbo
• Logstash
• Spring-Boot-starter-log4j2
• Spring és Spring Boot alapú alkalmazások
• és rengeteg más Java alkalmazás. Az érintett és nem érintett szoftverek listája.

Frissítés: 2021. december 14.:

Időközben kijött a Log4J 2.16-os verzió is: https://logging.apache.org/log4j/2.x/download.html

Kiválóan rendszerezett és gyakran frissített információ, az frissített szoftverekről, támadó IP-ről, keresőeszközökről.

Frissítés: 2021. december 12.:

Sérülékenység kereső a Silent Signal-tól

Létrehoztunk egy Burp Extender bővítményt, amely aktív szkennerellenőrzésként regisztrálja magát, és kétféle hasznos terhet generál. Az egyszerűbbik csak a kiszolgálónévre tartalmaz változóbővítést, míg a bonyolultabbik a felhasználónevet is tartalmazza a USER és USERNAME használatával a Unix-szerű és a Windows operációs rendszerekkel való kompatibilitás érdekében. A szinkron interakciókat a beépített szkenner naplózza, míg egy háttérszál percenként egyszer lekérdezi a Collaborator interakciókat, hogy tesztelje a rejtett kiszolgálókat és szolgáltatásokat.

Javítás a Minecraft-ban

• A játékindítóban a ki kell választani a telepített játékot és a „...”-ra kattintani.
• Kiválasztani az „Edit” (Szerkesztés) lehetőséget, majd a „More options” („További beállítások”) lehetőségre kattintani,
• Be kell illeszteni az indító scriptnél a „-jar” elé ez a részt:

Dlog4j2.formatMsgNoLookups=true

• Mentés és a mehet a játék!

A hibáról részletesebben

A Log4j JNDI támogatása nem korlátozta, hogy milyen neveket lehetett feloldani. Egyes protokollok nem biztonságosak, vagy távoli kódfuttatást tesznek lehetővé. A Log4j most már alapértelmezés szerint csak a java, ldap és ldaps protokollokra korlátozza a protokollokat, és az ldap protokollokat alapértelmezés szerint csak a helyi állomáson kiszolgált Java primitív objektumok elérésére korlátozza.

Az egyik vektor, amely lehetővé tette ennek a sebezhetőségnek a kitettségét, az volt, hogy a Log4j engedélyezte a Lookupok megjelenését a naplóüzenetekben. A Log4j 2.15.0-tól kezdve ez a funkció alapértelmezés szerint le van tiltva. Bár a felhasználóknak lehetőségük van a Lookupok engedélyezésére, a felhasználóknak nem ajánlott engedélyezni ezt a funkciót.

Érintett verziók: 2.0-beta9 - 2.14.1

Érintett jar fájl: log4j-core.jar

Azok számára, akik nem tudnak frissíteni a 2.15.0-ra,

• a >=2.10-es kiadásokban ez a sebezhetőség csökkenthető a

log4j2.formatMsgNoLookups

system property (LOG4J2-3198), vagy a

LOG4J_FORMAT_MSG_NO_LOOKUPS

környezeti változó true értékre állításával.

• a >=2.7 és <=2.14.1 közötti kiadásokban a PatternLayout minta megadható úgy, hogy

%m{nolookups}

használjon az %m minta helyett. (LOG4J2-2109)

• A 2.0-beta9 és 2.10.0 közötti kiadások esetében a JndiLookup osztály eltávolítása a classpath-ból: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

A 6u211, 7u201, 8u191, és 11.0.1 nagyobb JDK verziókat nem érintik az LDAP támadási vektor. Ebben a verzióban a com.sun.jndi.ldap.object.trustURLCodebase értéke false, ami azt jelenti, hogy az JNDI nem tud betölteni távoli kódot LDAP-on keresztül.

• https://snyk.io/blog/log4j-rce-log4shell-vulnerability-cve-2021-4428/
• https://logging.apache.org/log4j/2.x/security.html
• https://www.lunasec.io/docs/blog/log4j-zero-day/
• https://www.cnblogs.com/yyhuni/p/15088134.html
• https://issues.apache.org/jira/browse/LOG4J2-2109
• https://issues.apache.org/jira/browse/LOG4J2-3198
• NCSC-NL advisory
• MITRE
• https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce
• https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
• https://www.greynoise.io/viz/query/?gnql=tags%3A%22Apache%20Log4j%20RCE%20Attempt%22
• https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
• https://www.fortiguard.com/threat-signal-report/4335
• https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
• https://blog.silentsignal.eu/2021/12/12/our-new-tool-for-enumerating-hidden-log4shell-affected-hosts/
• https://github.com/Puliczek/CVE-2021-44228-PoC-log4j-bypass-words
• https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes
• Launchpad
• Debian
• https://security.netapp.com/advisory/ntap-20211210-0007/
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
• http://packetstormsecurity.com/files/165225/Apache-Log4j2-2.14.1-Remote-Code-Execution.html
• http://www.openwall.com/lists/oss-security/2021/12/10/1
• http://www.openwall.com/lists/oss-security/2021/12/10/2
• http://www.openwall.com/lists/oss-security/2021/12/10/3
• https://github.com/advisories/GHSA-jfh8-c2jp-5v3q
• http://github.com/YfryTchsGD/Log4jAttackSurface
• https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/
• https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

Programok a felderítéshez

• Sérülékenység kereső a Silent Signal-tól
• https://github.com/Neo23x0/log4shell-detector
• https://github.com/logpresso/CVE-2021-44228-Scanner

Gyártói érintettségek

Az érintett és nem érintett szoftverek listája.

Sérülékenység ellenőrzés

Log4J használat ellenőrzés

A hibával összefüggő aktivitást mutató támadó vagy adatgyűjtő hosztok listája