Itt egy Log4j hiba, ami még a Minecraft-ot is érinti

kami911 képe

A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

  • Apache Struts 2
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • ElasticSearch
  • Flume
  • Apache Dubbo
  • Logstash
  • Spring-Boot-starter-log4j2
  • Spring és Spring Boot alapú alkalmazások
  • és rengeteg más Java alkalmazás. Az érintett és nem érintett szoftverek listája.

Frissítés: 2021. december 14.:

Időközben kijött a Log4J 2.16-os verzió is: https://logging.apache.org/log4j/2.x/download.html

Kiválóan rendszerezett és gyakran frissített információ, az frissített szoftverekről, támadó IP-ről, keresőeszközökről.

iocs Tartalmazza a kompromitálódságra utaló jeleket, mint például az IP-címek, amelyek betőrni próbálnak, stb..
mitigation Tartalmazza a kárenyhítéssel kapcsolatos információkat, például a szkennelési tevékenység észlelésére szolgáló regexeket és egyebeket.
scanning A Log4j sebezhetőség kereséséhez használt módszerekre és eszközökre való hivatkozásokat tartalmaz.
software Az ismert sebezhető és nem sebezhető szoftverek listáját tartalmazza.

    Frissítés: 2021. december 12.:

    Sérülékenység kereső a Silent Signal-tól

    Létrehoztunk egy Burp Extender bővítményt, amely aktív szkennerellenőrzésként regisztrálja magát, és kétféle hasznos terhet generál. Az egyszerűbbik csak a kiszolgálónévre tartalmaz változóbővítést, míg a bonyolultabbik a felhasználónevet is tartalmazza a USER és USERNAME használatával a Unix-szerű és a Windows operációs rendszerekkel való kompatibilitás érdekében. A szinkron interakciókat a beépített szkenner naplózza, míg egy háttérszál percenként egyszer lekérdezi a Collaborator interakciókat, hogy tesztelje a rejtett kiszolgálókat és szolgáltatásokat.

    Javítás a Minecraft-ban

    • A játékindítóban a ki kell választani a telepített játékot és a „...”-ra kattintani.
    • Kiválasztani az „Edit” (Szerkesztés) lehetőséget, majd a „More options” („További beállítások”) lehetőségre kattintani,
    • Be kell illeszteni az indító scriptnél a „-jar” elé ez a részt:
    Dlog4j2.formatMsgNoLookups=true
    • Mentés és a mehet a játék!

    A hibáról részletesebben

    A Log4j JNDI támogatása nem korlátozta, hogy milyen neveket lehetett feloldani. Egyes protokollok nem biztonságosak, vagy távoli kódfuttatást tesznek lehetővé. A Log4j most már alapértelmezés szerint csak a java, ldap és ldaps protokollokra korlátozza a protokollokat, és az ldap protokollokat alapértelmezés szerint csak a helyi állomáson kiszolgált Java primitív objektumok elérésére korlátozza.

    Az egyik vektor, amely lehetővé tette ennek a sebezhetőségnek a kitettségét, az volt, hogy a Log4j engedélyezte a Lookupok megjelenését a naplóüzenetekben. A Log4j 2.15.0-tól kezdve ez a funkció alapértelmezés szerint le van tiltva. Bár a felhasználóknak lehetőségük van a Lookupok engedélyezésére, a felhasználóknak nem ajánlott engedélyezni ezt a funkciót.

    Érintett verziók: 2.0-beta9 - 2.14.1

    Érintett jar fájl: log4j-core.jar

    Azok számára, akik nem tudnak frissíteni a 2.15.0-ra,

    • a >=2.10-es kiadásokban ez a sebezhetőség csökkenthető a
    log4j2.formatMsgNoLookups

    system property (LOG4J2-3198), vagy a

    LOG4J_FORMAT_MSG_NO_LOOKUPS

    környezeti változó true értékre állításával.

    • a >=2.7 és <=2.14.1 közötti kiadásokban a PatternLayout minta megadható úgy, hogy
    %m{nolookups}

    használjon az %m minta helyett. (LOG4J2-2109)

    • A 2.0-beta9 és 2.10.0 közötti kiadások esetében a JndiLookup osztály eltávolítása a classpath-ból: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

    A 6u211, 7u201, 8u191, és 11.0.1 nagyobb JDK verziókat nem érintik az LDAP támadási vektor. Ebben a verzióban a com.sun.jndi.ldap.object.trustURLCodebase értéke false, ami azt jelenti, hogy az JNDI nem tud betölteni távoli kódot LDAP-on keresztül.

    Programok a felderítéshez

    Gyártói érintettségek

    Az érintett és nem érintett szoftverek listája.

    Apple Tesla Minecraft
    Tencent Apache Solr PulseSecure
    Steam Apache Druid UniFi
    Twitter Apache Struts2 VMWare
    Baidu IBM Qradar SIEM Blender
    DIDI PaloAlto Panorama Google
    JD ElasticSearch Webex
    NetEase ghidra LinkedIn
    CloudFlare ghidra server VMWarevCenter
    Amazon   Speed camera LOL

    Sérülékenység ellenőrzés

    Forrás Megjegyzés URL
    crypt0jan Perform a scan of a single host (using Powershell) to see if it's vulnerable https://github.com/crypt0jan/log4j-powershell-checker
    Huntress Online Log4Shell Vulnerability Tester https://log4shell.huntress.com/
    Canary Tokens Log4Shell Vulnerability Tester https://canarytokens.org/generate
    Diverto Nmap NSE scripts to check against log4shell https://github.com/Diverto/nse-log4shell
    righel Nmap NSE script to inject jndi payloads with customizable templates into HTTP targets https://github.com/righel/log4shell_nse
    silentsignal Log4Shell scanner for Burp Suite https://github.com/silentsignal/burp-log4shell
    Northwave Security Northwave Log4j CVE-2021-44228 checker https://github.com/NorthwaveSecurity/log4jcheck
    Northwave Security Northwave Log4j CVE-2021-44228 checker Powershell version https://github.com/crypt0jan/log4j-powershell-checker
    OlafHaalstra Scans a list of URLs with GET or POST request with user defined parameters https://github.com/OlafHaalstra/log4jcheck
    Grype Open source vulnerability scanner (docker), picks up nested JARs containing log4j https://github.com/anchore/grype
    logpresso Scans for java files that are vulnerable and may rename it for mitigation https://github.com/logpresso/CVE-2021-44228-Scanner
    FullHunt Open detection and scanning tool (Python) for discovering and fuzzing for Log4J vulnerability https://github.com/fullhunt/log4j-scan
    Dtact DIVD-2021-00038 log4j scanner Scan paths including archives for vulnerable log4 https://github.com/dtact/divd-2021-00038--log4j-scanner

    Log4J használat ellenőrzés

    Forrás Megjegyzés URL
    Neo23x0 Florian Roth Log4j2 detection script https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
    sp4ir Powershell script to detect Log4Shell https://github.com/sp4ir/incidentresponse/blob/35a2faae8512884bcd753f0de3fa1adc6ec326ed/Get-Log4shellVuln.ps1
    NCCgroup Version hashes (MD5, SHA1 and SHA256) for log4j2 versions https://github.com/nccgroup/Cyber-Defence/tree/master/Intelligence/CVE-2021-44228
    1lann Scans a file or folder recursively for jar files that may be vulnerable https://github.com/1lann/log4shelldetect
    Syft Open source SBOM scanner, can detect all dependencies including log4j https://github.com/anchore/syft/
    Devotech Powershell: Queries domain servers and scans for log4j-core files. (slow) https://github.com/devotech/check-log4j

    A hibával összefüggő aktivitást mutató támadó vagy adatgyűjtő hosztok listája

    The list of callback servers, updated by Greynoise https://gist.github.com/superducktoes/9b742f7b44c71b4a0d19790228ce85d8
    The list of scanning IP's, updated by Greynoise https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
    Threatfox https://threatfox.abuse.ch/browse/tag/log4j/
    UrlHaus https://urlhaus.abuse.ch/browse/tag/log4j/
    Malware Bazaar https://bazaar.abuse.ch/browse/tag/log4j/
    CTCI https://docs.google.com/spreadsheets/d/e/2PACX-1vT1hFu_VlZazvc_xsNvXK2GJbPBCDvhgjfCTbNHJoP6ySFu05sIN09neV73tr-oYm8lo42qI_Y0whNB/pubhtml#
    Malwar3Ninja https://twitter.com/bad_packets/status/1469225135504650240
    GovCert.ch https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
    isc.sans.edu https://isc.sans.edu/diary/Log4Shell+exploited+to+implant+coin+miners/28124
    cert-agid.gov.it https://cert-agid.gov.it/download/log4shell-iocs.txt

    Hozzászólások

    kami911 képe

    Via Silent Signal Kft.

    Via Silent Signal Kft.

    Az Alibaba biztonsági csapata kritikus sérülékenységet azonosított a rendkívül elterjedt Log4j2, Java alkalmazások naplózásához használt könyvtárban.

    A probléma távoli kódvégrehajtást tesz lehetővé, ha a támadó által befolyásolható adat megjelenik log üzenetben - figyelembe véve az érintett könyvtár funkcionalitását ez a feltétel a Java alapú alkalmazások széles körénél fennáll.

    A helyzetet tovább rontja, hogy az érintett könyvtár számos kereskedelmi forgalomban kapható termék függőségeként is telepítésre kerülhet. Az érintett szoftverek pontos körét nehéz felmérni, de az biztos, hogy pl. a Struts2, Solr, Druid és Flink Apache szoftverek is érintettek.

    A sérülékenység kezdeti javítása ezen kívül hiányos volt, védelmet csak az log4j-2.15.0-rc2 csomagra történő frissítés biztosít.  Elkerülő megoldásként ezen kívül alkalmazható a "-Dlog4j2.formatMsgNoLookups=true" futásidejű konfiguráció, ami letiltja a sérülékeny kód útvonalat.

    Mivel a sérülékenység kihasználása jelenlegi információk szerint a támadó hosztjáról történő kód betöltéssel történhet (JDNI), a kimenő kapcsolatokat korlátozó tűzfal konfigurációk hatékonyan csökkenthetik a sérülékenységből adódó kockázatot.

    A sérülékenységet jelenleg aktívan kihasználják, azért a sérülékeny rendszerek azonosítása (pl. szoftver leltár alapján) és a sérülékenység kezelése kiemelt prioritással kezelendő.

    Javasoljuk a szervezeten belül az információ minél szélesebb körű terjesztését annak érdekében, hogy minden érintett szolgáltatás azonosításra és javításra kerüljön.

    Értékelés: 

    0
    Még nincs értékelve

    Ez azért egy elég nagy bazzmeg

    Azoknak, akik nem értik, hogy miről van szó:

    Most ez pont a PC-ket (notikat) ez annyira nem érinti, kivéve, ha valaki házi szervert üzemeltet (vagy NAS-t esetleg), de minden egyéb ami az Internettel kapcsolatos, JAVA-t futtat, ideértve az okos eszközöket, mobiltelefonokat (a régieket is!) azzal gáz van, a Minecraft csak egyik érintett. Közvetve mindenki érintett lehet, akinek netes jelszava van. Az ahhoz tartozó adatok is érintettek lehetnek.

    Bocs, hogy a címben leírtam, de ez tényleg az.

    Értékelés: 

    0
    Még nincs értékelve
    kami911 képe

    Ez azért egy elég nagy bazzmeg

    #2 Igen igen, ebből elég sok meló lesz mindenkinek, aki üzemeltet.

    Értékelés: 

    0
    Még nincs értékelve
    kimarite képe

    Mindenkit sürgetnek, hogy térjenek át a Log4j 2.15.0 verzióra

    A felfedezés után az Apache is gyorsan lépett, kiadtak egy javítást, és mindenkit sürgetnek, hogy a lehető leghamarabb térjenek át a Log4j 2.15.0 verzióra. Ugyanakkor az is nagy gondot okoz, hogy bár a nagyvállalati rendszereket, mint például az Amazon felhőszolgáltatása, gyorsan lehet frissíteni, a számtalan harmadik fél esetében ez biztosan lassabb folyamat lesz.

    https://itcafe.hu/hir/apache_log4shell_sebezhetoseg.html

    Értékelés: 

    0
    Még nincs értékelve
    kami911 képe

    Mindenkit sürgetnek, hogy térjenek át a Log4j 2.15.0 verzióra

    #3 igen, ezt írtam az első mondatban. 2.15.

    Értékelés: 

    0
    Még nincs értékelve

    A hétvégén már voltak aktív

    #4 Ami furcsa, hogy nálam is (desktop, nem szerver!) szaporodnak a bejövő kukucsok olyan címekről, amit merőben szokatlan, nagyon eltérnek az eddigi néhánytól... de persze, lehet semmi köze ehhez, egyszerűen csak jön a karácsony, mindenki nyüzsög...

    Értékelés: 

    0
    Még nincs értékelve