» »

Huda ranljivost v knjižnici Apache Log4j se že izrablja

Huda ranljivost v knjižnici Apache Log4j se že izrablja

Slo-Tech - V knjižnici Java logging library Log4j so odkrili hudo ranljivost, ki napadalcem omogoči izvesti poljubno kodo v sistemu, do katerega imajo le oddaljen dostop (remote code execution). Prizadeta knjižnica se široko uporablja, objavljena pa je tudi koda, ki omogoča izrabo ranljivosti. Zato ni presenetljivo, da že beležijo primere aktivne zlorabe in napadov na produkcijske sisteme. Popravljena verzija je že na voljo, a smo v veliki meri odvisni od proizvajalcev aplikacij in sistemov, ki uporabljajo Apache Log4j.

Prizadete so verzije od 2.0 do 2.14.1, zato vsem svetujemo nadgradnjo na verzijo 2.15.0. V nekaterih poznejših verzijah (2.10.0 in novejše) se je moč ubraniti tudi z zagonom aplikacije s posebnim stikalom (-Dlog4j2.formatMsgNoLookups=true), kar pa lahko vpliva na funkcionalnost Lookups. Ali je bil neki sistem že tarča napada, lahko preverimo v dnevniških datotekah, ki bodo v tem primeru vsebovale nize ${jndi:ldap://…}. Hekerji že množično iščejo ranljive sisteme. Celo v igri Minecraft, ki obstaja tudi v javanski verziji, so se pojavili igralci, ki si uporabniško ime spremenijo v škodljivi niz znakov.

Log4j je knjižnica za Javo, ki sicer ni najpopularnejši programski jezik, a je še vedno precej razširjen v poslovnih sistemih in spletnih aplikacijah. Za zlorabo je dovolj, da napadalec pošlje zlonamerno kodo, ki jo Log4j zabeleži. Na ranljivost so opozorili že vsi večji CERT-i, vključno s slovenskim.

22 komentarjev

Mr.B ::

Zanimivo, da na slo techu nihce ne dela panike. Serverji/ storitve ki imajo nezakrpano luknjo so kar eminentni.
Kitajci : Credit: This issue was discovered by Chen Zhaojun of Alibaba Cloud Security Team

tor so blokirali rusi..... ravno vceraj je bila novica.
GreyNoise is detecting a sharply increasing number of hosts opportunistically exploiting Apache Log4J CVE-2021-44228. Exploitation occurring from ~100 distinct hosts, almost all of which are Tor exit nodes. Tags available to all users and customers now.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Zgodovina sprememb…

  • spremenil: Mr.B ()

Maximus ::

Kolikor sem okoli prebral, se trenutno ranljivosti izrabljajo za coin mining.

Raziskovalci tudi pravijo da ni nujno, da WAF-i in podobne zadeve uspejo ustaviti tak tip napada. Ranljivost se lahko izrabi tudi na strežnikih, ki niso direktno dostopni s spleta.

Bo kar zanimivo spremljati reševanje tega, ker se omenjena "knjižnica" skoraj povsod uporablja.

Ales ::

Mr.B je izjavil:

Zanimivo, da na slo techu nihce ne dela panike. Serverji/ storitve ki imajo nezakrpano luknjo so kar eminentni.

Ne, niso. Luknjo ima ena knjižnica za Javo in ta je relativno redka, če primerjaš število vseh spletnih strežnikov. Pa še če gre za Javo, ne uporabljajo vsi prav te knjižnice, niti tega spletnega strežnika.

Nihče ne dela panike, ker ni nobene potrebe za tem.

Maximus je izjavil:

Bo kar zanimivo spremljati reševanje tega, ker se omenjena "knjižnica" skoraj povsod uporablja.

Ne se ne.

Težava je lahko pri nekaterih enterprise sistemih in še to je dejansko težava le, kadar kdo ni sposoben posodobiti zadeve ali spremeniti nastavitev. Taki mojstri naj kar ugasnejo zadevo, pa bo.

Mr.B ::

Ales je izjavil:

Mr.B je izjavil:

Zanimivo, da na slo techu nihce ne dela panike. Serverji/ storitve ki imajo nezakrpano luknjo so kar eminentni.

Ne, niso. Luknjo ima ena knjižnica za Javo in ta je relativno redka, če primerjaš število vseh spletnih strežnikov. Pa še če gre za Javo, ne uporabljajo vsi prav te knjižnice, niti tega spletnega strežnika.

Nihče ne dela panike, ker ni nobene potrebe za tem.

Maximus je izjavil:

Bo kar zanimivo spremljati reševanje tega, ker se omenjena "knjižnica" skoraj povsod uporablja.

Ne se ne.

Težava je lahko pri nekaterih enterprise sistemih in še to je dejansko težava le, kadar kdo ni sposoben posodobiti zadeve ali spremeniti nastavitev. Taki mojstri naj kar ugasnejo zadevo, pa bo.

Maš res, upam da ne uporabljaš Steam storitve, Tor omrežja, no lista je dolga recimo apple amaterji...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Maximus ::

Ales je izjavil:



Ne, niso. Luknjo ima ena knjižnica za Javo in ta je relativno redka, če primerjaš število vseh spletnih strežnikov. Pa še če gre za Javo, ne uporabljajo vsi prav te knjižnice, niti tega spletnega strežnika.

Nihče ne dela panike, ker ni nobene potrebe za tem.



Nisem prepričan, da noben ne dela panike.
Cisco ima kar nekaj produktov z omenjeno ranljivostjo, pa nobena zadeva ni frontend web strežnik
Ali pa recimo nekatere Broadcomove rešitve

Težava je, če je paket/zahtevek dobro narejen, se bo zahteva lahko prenesla na kak backend strežnik in tam izkoristila luknjo.


Še blog post na to temo

Seznam podjetij ki so se odzvala na ranljivost v smislu, ali še preverjajo svoje produkte oz. kakšen je status.

Zgodovina sprememb…

  • spremenil: Maximus ()

Mr.B ::

Evo moj NetGear rooter mi je ravno poslal popup, firmware update do to security....
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Ales ::

Mr.B je izjavil:

Ales je izjavil:

Mr.B je izjavil:

Zanimivo, da na slo techu nihce ne dela panike. Serverji/ storitve ki imajo nezakrpano luknjo so kar eminentni.

Ne, niso. Luknjo ima ena knjižnica za Javo in ta je relativno redka, če primerjaš število vseh spletnih strežnikov. Pa še če gre za Javo, ne uporabljajo vsi prav te knjižnice, niti tega spletnega strežnika.

Nihče ne dela panike, ker ni nobene potrebe za tem.

Maximus je izjavil:

Bo kar zanimivo spremljati reševanje tega, ker se omenjena "knjižnica" skoraj povsod uporablja.

Ne se ne.

Težava je lahko pri nekaterih enterprise sistemih in še to je dejansko težava le, kadar kdo ni sposoben posodobiti zadeve ali spremeniti nastavitev. Taki mojstri naj kar ugasnejo zadevo, pa bo.

Maš res, upam da ne uporabljaš Steam storitve, Tor omrežja, no lista je dolga recimo apple amaterji...

Videl si Tor omenjen v novici in zdaj misliš, da je Tor ranljiv. ;)

Za te ostale omenjene, če so res ranljivi preko tega, me ne skrbi. Se bodo že znašli oz. so se že.

Lahko pa začnemo zbirat prostovoljne prispevke, da bodo lažje vzdrževali infrastrukturo... :D

Maximus je izjavil:

Ales je izjavil:



Ne, niso. Luknjo ima ena knjižnica za Javo in ta je relativno redka, če primerjaš število vseh spletnih strežnikov. Pa še če gre za Javo, ne uporabljajo vsi prav te knjižnice, niti tega spletnega strežnika.

Nihče ne dela panike, ker ni nobene potrebe za tem.



Nisem prepričan, da noben ne dela panike.
Cisco ima kar nekaj produktov z omenjeno ranljivostjo, pa nobena zadeva ni frontend web strežnik
Ali pa recimo nekatere Broadcomove rešitve

Težava je, če je paket/zahtevek dobro narejen, se bo zahteva lahko prenesla na kak backend strežnik in tam izkoristila luknjo.


Še blog post na to temo

Seznam podjetij ki so se odzvala na ranljivost v smislu, ali še preverjajo svoje produkte oz. kakšen je status.


Ja, tu verjamem, da je nekaj panike. Na ta del problematike se je nanašal tisti drug del mojega posta, ne ta, ki si ga citiral...

"Težava je lahko pri nekaterih enterprise sistemih in še to je dejansko težava le, kadar kdo ni sposoben posodobiti zadeve ali spremeniti nastavitev. Taki mojstri naj kar ugasnejo zadevo, pa bo."

Sem ravnokar enemu dežurnemu kolegu rekel to zadnje in mi je nekaj zabrundal v slušalko ter rekel, da mora it... a sem morda bil neobziren? :D

Je zvenel nekoliko nervozno...

Mr.B ::

Ales, verjetno nisi pogledal nobenega linka... Na listi niso produkti, nekih domačih šalabajzerjev.

.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Zgodovina sprememb…

  • spremenil: Mr.B ()

Ales ::

Zdaj, koliko so kaka zveneča enterprise imena kdaj tudi šalabajzerji in koliko ne, lahko debatiramo. Posledično z veseljem kdaj komu rečem, naj kar ugasne zadevo.

To je črn humor, da ne bo pomote. Sploh glede na ceno, pomembnost naprave v nekem okolju, ... Enim pomaga, ene še bolj znervira, odvisno. :D

sija ::

A je to res luknja v knjižnici? Kakor jaz razumem, je to povsem veljavna in dokumentirna funkcija programa, ki pa je bila privzeto vklopljena, programerji pa seveda pred uporabo niso natančno prebrali priloženih navodil in se o tveganju in neželenih učinkih niso posvetovali z rumeno gumijasto račko ali IRC kanalom.

MrStein ::

Mr.B je izjavil:

Evo moj NetGear rooter mi je ravno poslal popup, firmware update do to security....

Ruterji ponavadi ne poganjajo jave.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Mr.B ::

MrStein je izjavil:

Mr.B je izjavil:

Evo moj NetGear rooter mi je ravno poslal popup, firmware update do to security....

Ruterji ponavadi ne poganjajo jave.

Sem opazil da je bil patch iz 30.11.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

sija ::

https://mobile.twitter.com/christophetd...

GitHub briše PoC programe, da bi "pomagal" ljudstvu (:

MrStein ::

Pa še ta tviti so zbrisali. The bastards!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

secops ::

sija je izjavil:

https://mobile.twitter.com/christophetd...

GitHub briše PoC programe, da bi "pomagal" ljudstvu (:


To ni res

sija ::

secops je izjavil:

sija je izjavil:

https://mobile.twitter.com/christophetd...

GitHub briše PoC programe, da bi "pomagal" ljudstvu (:


To ni res

Izgleda, da imaš prav.

AgiZ ::

Spura ::

To je log4j2, ki ni ravno pogosta ker folk uporablja tudi:
- log4j 1.x
- logback
- slf4j
- java.util.logging

OracleDev ::

Tudi pri log4j 1.x je odkrita ranljivost če se uporablja JMSAppender. Link

Zgodovina sprememb…

mr_chai ::

Še en dokaz, da so javanci overkill "inžinirji", ki tlačjo v vsako stvar 10000 različnih funkcionalnosti.

OracleDev ::

O čem ti to govoriš? Logiranje je ena izmed osnovnih zadev.

Ales ::

OracleDev je izjavil:

O čem ti to govoriš? Logiranje je ena izmed osnovnih zadev.

Logiranje samo po sebi ni problem. Malo podrobneje si poglej, kakšen konkretno je bug...

Kakor so že omenili, tole sploh ni bug kot tak, pač pa katastrofalen sw dizajn.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
!

[Java] Povezave

Oddelek: Programiranje
2439637 (1832) RonakKumar
»

Huda ranljivost v knjižnici Apache Log4j se že izrablja

Oddelek: Novice / Varnost
228925 (5542) Ales
»

GHOST - resna ranljivost v glibc

Oddelek: Novice / Varnost
257148 (4275) jype
»

zagon Java aplikacije

Oddelek: Programiranje
51007 (869) l0g1t3ch
»

c# debugger noce ujeti exceptiona!!

Oddelek: Programiranje
161372 (1043) BlueRunner

Več podobnih tem