Nova ozbiljna Apache log4j ranjivost
S obzirom na lakoću eksploatacije očekuje se veliki broj napada
Devetog decembra otkrivena je ranjivost Apache log4j 2 okruženja koja omogućava neautorizovano udaljeno izvršavanje koda.
Apache Software Foundation je objavila ispravke za ovu zero day ranjivost koja se u ovo trenutku aktivno eksploatiše. Ukoliko se ranjivost zloupotrebi, Apache Log4j biblioteka se može koristiti za izvršavanje malicioznog koda, što omogućava kompletno preuzimanje pogođenog sistema.
Zloupotreba ranjivosti
Ranjivost CVE-2021-44228 poznata i pod imenima Log4Shell ili LogJam, omogućava neautorizovano, udaljeno izvršavanje koda (RCE) na bilo kojoj aplikaciji koja koristi Apache Log4j open source framework.
Ocena ove ranjivosti je maksimalnih 10 prema CVSS sistemu ocenjivanja, što ukazuje na ozbiljnost problema.
Napadač koji kontroliše log poruke ili parametre log poruka može da izvrši kod sa LDAP servera kada je omogućena zamena pretraživanja poruka. Od nove verzije Log4j 2.15.0 ova opcija je onemogućena u podrazumevanim podešavanjima.
Kod za zloupotrebu ranjivosti CVE-2021-44228 je javno dostupan. Svaki korisnički unos preko Java aplikacija koja koristi ranjivu verziju log4j 2.x može biti izložen ovom napadu, u zavisnosti od toga kako se evidentiranje implementira u Java aplikaciji. Do sada su javno prijavljeni navodno uspešni napadi na iCloud, Twitter, Amazon, Baidu i Minecraft.
Šta je Apache log4j 2?
Apache log4j 2 je open source framework za vođenje evidencije (logging) zasnovan na Javi, koji se koristi u brojnim Java aplikacijama širom sveta. Apache log4j 2 se koristi u mnogim popularnim softverskim aplikacijama, kao što su Apache Struts, ElasticSearch, Redis, Kafka i drugi.
Pogođeni softver
Značajan broj aplikacija zasnovanih na Javi koristi log4j i ranjivi su na ovaj CVE. Koliko se zna, sledeći softver može biti pogođen:
- Apache Struts
- Apache Solr
- Apache Druid
- Apache Flink
- ElasticSearch
- Flume
- Apache Dubbo
- Logstash
- Kafka
- Spring-Boot-starter-log4j2
Patch i zaštita
Ovaj napad je izuzetno jednostavan za izvođenje i ne zahteva veliku stručnost napadača.
S obzirom na lakoću eksploatacije i rasprostranjenost Log4j-a u IT-u preduzeća i DevOps-u, očekuje se da će broj napada na ranjive servere porasti u narednim danima, zbog čega je neophodno odmah otkloniti nedostatak.
Kada je objavljena zvanična Apache zakrpa, prvobitno je prijavljeno da je 2.15.0-rc1 popravio CVE-2021-44228 ranjivost. Međutim, otkrivena je naknadna obilaznica. Zbog toga je objavljena nova verzija 2.15.0-rc2, koja štiti korisnike od ove ranjivosti.