Powszechnie używana biblioteka rejestrująca Java, log4j, jest aktywnie wykorzystywana, zgodnie z aktualizacją CERT NZ i Catalyst.
Mówi się, że program zawiera obecnie niecertyfikowaną lukę RCE, jeśli zarejestrowany zostanie ciąg kontrolowany przez użytkownika. Może to umożliwić atakującemu przejęcie pełnej kontroli nad serwerem, którego dotyczy problem, i uzyskanie dostępu do krytycznych danych.
Użytkownicy zgłaszali, że system jest aktywnie eksploatowany na wolności, a kod weryfikacyjny został opublikowany.
Obecnie CERT NZ twierdzi, że dotyczy to systemów i usług korzystających z biblioteki rejestrującej Java, Apache log4j między wersjami 2.0 i 2.14. Obejmuje to wiele aplikacji i usług napisanych w Javie, obejmujących duży obszar i wiele punktów wejścia.
Jeśli którykolwiek z tych plików między wersjami 2.0 i 2.14 jest podatny na ataki, istnieje ryzyko. Jeśli pliki dziennika dowolnych usług korzystających z wersji log4j, których dotyczy problem, zawierają ciągi kontrolowane przez użytkownika, oznacza to włamanie.
CERT NZ twierdzi, że najlepszym sposobem zapobiegania uszkodzeniom jest aktualizacja wersji log4j do log4j-2.15.0.
W przypadku wystąpienia naruszenia najlepszą wskazówką dotyczącą strategii łagodzenia skutków jest zmiana ustawienia log4j2.formatMsgNoLookups na true przez dodanie: „Dlog4j2.formatMsgNoLookups = True” do polecenia maszyny JVM, aby uruchomić aplikację.
Catalyst twierdzi, że nie byli świadomi żadnego z jego systemów ani systemów opartych na hoście, które zostały naruszone w momencie ostrzeżenia doradczego.
„Ustanowiliśmy priorytety systemów klientów zgodnie z ich znaczeniem i ryzykiem, a także korygujemy je w celu ograniczenia możliwości eksploatacji” — mówi firma.
Zauważyli również, że obecne środki bezpieczeństwa pomagają zapobiegać dodatkowym szkodom i zagrożeniom.
„Systemy stojące za WAF (zapory sieciowe aplikacji internetowych), takie jak te dostarczane przez Cloudflare i Fastly, również wdrażają środki łagodzące”.
Platforma bezpieczeństwa LunaSec opublikowała aktualizację na swoim blogu, która sklasyfikowała ją jako poważną lukę w zabezpieczeniach.
Biorąc pod uwagę, jak wszechobecna jest ta biblioteka, wpływ exploita (pełna kontrola nad serwerem) i łatwość jego wykorzystania, wpływ tej luki jest bardzo poważny. Nazywamy to „Log4Shell”, mówią.
Stwierdzono już, że kilka usług jest podatnych na tę lukę. Odkryto już, że usługi w chmurze, takie jak Steam, Apple iCloud i aplikacje, takie jak Minecraft, są zagrożone. LunaSec mówi, że nawet „wykazano, że sama zmiana nazwy iPhone’a powoduje lukę w serwerach Apple”.
Mówią również, że podobne luki były już wykorzystywane w przypadku naruszeń, takich jak wyciek danych Equifax w 2017 roku.
CERT NZ, Catalyst, LunaSec i kilka innych agencji sprawozdawczych nadal udziela porad i śledzi problem.
„Zła entuzjasta podróży. Irytująco skromny ćpun internetu. Nieprzepraszający alkoholiczek”.