Уязвимостта позволява неудостоверено отдалечено изпълнение на код.
Какво преставлява Log4j 2?
Библиотека за регистриране на Java с отворен код, разработена от Apache Foundation, използва се широко в много приложения и присъства като зависимост в много услуги - корпоративни приложения и множество облачни услуги.
Уязвимoстта е достъпна чрез множествo специфични за приложениетo метoди. На практика всеки сценаpий, който пoзвoлява oтдалечена връзка да дoставя прoизволни данни, записани в регистрационни файлове от приложение, използващо библиотеката Log4j, е податлив на експлоатация.
След проведен анализ на CVE-2021-44228 е установено, че повечето инсталации направени по подразбиране в широко използваните корпоративни софтуери са уязвими на заплахата. Уязвимостта може да бъде използвана надеждно и без необходимост от удостоверяване.Уязвимостта позволява дистанционно изпълнение на код като потребител, изпълняващ приложението, което използва библиотеката. Уязвимостта засяга множество версии на Log4j 2 - версии 2.0 до 2.14.1.
Какво е въздействието?
Според European Union Agency for Cybersecurity (ENISA) библиoтеката Log4j 2 се използва много често в корпоративния софтуер. Поради тази методология на внедряване въздействието е трудно да се определи количествено. Подобно на други високопрофилни уязвимости като Heartbleed и Shellshock, се смята, че ще има все по-голям брой уязвими продукти, открити през следващите седмици. Поради лекотата на ескплойта и широчината на приложимостта, най-вероятно участниците в рансъмуер измамите ще започнат да използват тази уязвимост.
Препоръката е всички организации да прегледат регистрационните файлове за засегнати приложения и необичайна дейност. Ако бъдат открити аномалии, най-вероятно е активен инцидент и трябва да се реагира незабавно.
Надстройката до коригираните версии на Log4j 2 ще премахне тази уязвимост. Препоръчва севсяка организация, която смята, че може да бъде засегната, да актуализира спешно до коригирана версия.
Малко след като се появи уязвомостта в GitHub се появиха инструменти за проверка:
https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
https://github.com/Neo23x0/log4shell-detector
https://github.com/OWASP/Nettacker
Списък на засегнат и незасегнат софтуер
https://github.com/NCSC-NL/log4shell/tree/main/software
Ако използвате софтуер от този списък, който е засегнат Ви съветваме да следвате препоръките на производителя за митигиране на проблема.
Допълнителна информация:
Анализ на Randori - https://www.randori.com/blog/cve-2021-44228/ относно CVE-2021-44228
Коментари
Публикуване на коментар