CVE-2021-44228 olarak ve Log4Shell veya LogJam takma adları tarafından izlenen sorun, açık kaynak yardımcı programını kullanan ve Log4j 2.0-beta9'un 2.14'e kadar olan sürümlerini etkileyen herhangi bir uygulamada kimliği doğrulanmamış, uzaktan kod yürütme (RCE) durumuyla ilgilidir. 1. Hata, CVSS derecelendirme sisteminde sorunun ciddiyetinin göstergesi olarak 10 üzerinden 10 mükemmel bir puan aldı.
Apache Foundation bir danışma belgesinde, "Günlük mesajlarını veya günlük mesajı parametrelerini kontrol edebilen bir saldırgan, mesaj arama ikamesi etkinleştirildiğinde LDAP sunucularından yüklenen rastgele kodu çalıştırabilir" dedi. "Log4j 2.15.0'dan bu davranış varsayılan olarak devre dışı bırakıldı."
Sömürü, tek bir metin dizisiyle gerçekleştirilebilir; bu, bir uygulamanın savunmasız Log4j örneği aracılığıyla günlüğe kaydedilirse kötü niyetli bir harici ana bilgisayara erişmesini tetikleyebilir ve düşmana uzak bir sunucudan bir yük alma ve etkin bir şekilde alma yeteneği verir. yerel olarak yürütün. Proje sahipleri, sorunu keşfeden Alibaba Bulut Güvenlik Ekibinden Chen Zhaojun'a teşekkür etti.
Log4j, Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter ve Minecraft gibi video oyunları dahil olmak üzere bir dizi üretici tarafından çeşitli popüler yazılımlarda bir günlük paketi olarak kullanılmaktadır. İkincisi durumunda, saldırganlar özel hazırlanmış bir mesajı sohbet kutusuna yapıştırarak Minecraft Sunucularında RCE kazanabildiler.
Büyük bir saldırı yüzeyi
Qualys'in güvenlik açıkları ve imzalar üst düzey yöneticisi Bharat Jogi, "Apache Log4j sıfır gün güvenlik açığı muhtemelen bu yıl gördüğümüz en kritik güvenlik açığıdır" dedi. "Log4j, hata mesajlarını günlüğe kaydetmek için milyonlarca Java uygulaması tarafından kullanılan her yerde bulunan bir kitaplıktır. Bu güvenlik açığından yararlanmak önemsizdir."
Siber güvenlik firmaları BitDefender, Cisco Talos, Huntress Labs ve Sonatype, bir kavram kanıtı (PoC) açığının kullanılabilirliğini takiben, savunmasız sunucular ve bal küpü ağlarına yönelik saldırılar için vahşi ortamda etkilenen uygulamaların toplu olarak tarandığına dair kanıtları onayladı. Sonatype'den Ilkka Turunen, "Bu, yürütmesi son derece basit, düşük yetenekli bir saldırıdır." Dedi.
GreyNoise, açığı Shellshock'a benzeterek, 9 Aralık 2021'de başlayan güvenlik açığını hedefleyen kötü niyetli faaliyetler gözlemlediğini söyledi. Web altyapı şirketi Cloudflare, 18:00 civarında dakikada yaklaşık 20.000 istismar isteğini engellediğini kaydetti. UTC Cuma günü, istismar girişimlerinin çoğu Kanada, ABD, Hollanda, Fransa ve İngiltere kaynaklı.
Log4j'nin kurumsal BT ve DevOps'ta kullanım kolaylığı ve yaygınlığı göz önüne alındığında, hassas sunuculara yönelik vahşi saldırıların önümüzdeki günlerde artması ve bu kusurun derhal ele alınmasını zorunlu hale getirmesi bekleniyor. İsrailli siber güvenlik firması Cybereason ayrıca, kaydediciyi yeniden yapılandırmak ve saldırının daha fazla istismar edilmesini önlemek için güvenlik açığının kendisini kullanarak eksikliği kapatan "Logout4Shell" adlı bir düzeltme yayınladı.
Güvenlik uzmanı Marcus Hutchins bir tweet'te, "Bu Log4j (CVE-2021-44228) güvenlik açığı son derece kötü. Milyonlarca uygulama, günlük kaydı için Log4j kullanıyor ve saldırganın tek yapması gereken, uygulamanın özel bir dize kaydetmesini sağlamak" dedi.
Kaynak
