Patch veröffentlicht, aber jetzt über eine Lockerung nachgedacht • Rekord
Die Sicherheitsanfälligkeit bezüglich der authentifizierten Remotecodeausführung im Java-basierten Log4j-basierten Protokollierungstool Apache wird aktiv ausgenutzt, und Forscher haben gewarnt, nachdem es zum Ausführen von Code auf Maine Craft Server.
Das INFOSEC-Unternehmen Randuri und vuln fassten in einem Blog-Beitrag zusammen: „Faktisch ist jedes Skript, das es einer Remote-Verbindung ermöglicht, beliebige Daten bereitzustellen, die von einer Anwendung, die die Log4j-Bibliothek verwendet, in Protokolldateien geschrieben wird, anfällig für Ausbeutung.“
Entwickelte Proof-of-Concept-Codeschnipsel machen bereits die Runde.
vuln wird als CVE-2021-44228 verfolgt und betrifft Log4j-Versionen vor 2.14.1. Proof-of-Concept-Code Teilgenommener GitHub Ein Mitglied des Alibaba Cloud-Sicherheitsteams zusammen mit einer kurzen Readme-Datei (in China) mit den Worten: „Nach der Überprüfung durch das Alibaba Cloud-Sicherheitsteam sind Apache Struts2, Apache PE, Apache Priest, Apache Flink usw. betroffen. .“
Apache-Stiftung Veröffentlichen Sie den Patch Für kritische Bewertung vuln früher heute. Die Debug-Notizen bestätigten: „Ein Angreifer, der Protokollnachrichten oder Protokollnachrichtenparameter kontrollieren kann, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachrichtensuchsubstitution aktiviert ist.“
Wir haben Apache um einen Kommentar gebeten und werden diesen Artikel aktualisieren, wenn er antwortet. Die Hauptursache des Problems scheint zu sein, dass Log4j einige Codeschnipsel in Benutzereingaben geparst hat. Unabhängig davon, ob dies der Fall ist oder nicht, betrifft es sowohl Log4j als auch seine neuere Version Log4j2.
INFOSEC Lunasec ausrüsten hat Ein ausführlicher Blogbeitrag über Bugs.
Ein Spezialist für immersive Anwendungssicherheit Labs ‚Shaun Wright aufzeichnen Während direkte Patches verfügbar sind, ist es möglicherweise am besten, jetzt zu mildern und auf einen stabilen Filter zu warten.
„Mein Rat an Unternehmen ist, sich vorübergehende Abhilfemaßnahmen anzusehen (set formatMsgNoLookups = true proprietär) und zu warten, bis gepatchte Versionen verfügbar sind“, sagte er. „Obwohl es Release-Kandidaten für Patches gibt, sind diese keine stabilen Versionen und können ihre eigenen Risiken bergen. Wenden Sie also einen temporären Fix an, bis Sie den Patch von der stabilen Version installieren können.“
Marcus Hutchins, der INFOSEC-Pod, der den WannaCry-Angriff gegen den NHS in Großbritannien vor einigen Jahren gestoppt hat, nannte es „sehr schlecht“.
Im Fall von Minecraft konnten die Angreifer durch einfaches Einfügen einer kurzen Nachricht in die Chatbox Remote-Codeausführung auf Minecraft-Servern erreichen.
– Marcus Hutchins (@MalwareTechBlog) 10. Dezember 2021
Jimmy Moles, Senior Technical Director bei Network Reveal und ExtraHop Inc., sagte als Antwort: Reg RCE werde wahrscheinlich „viele Cloud-Plattformen wie Steam, iCloud und Minecraft“ betreffen.
„Das Problem wird durch Patchen gemildert“, fuhr er fort. „Das Aktualisieren von log4j-core.jar auf die heute veröffentlichte Version 2.15.0 hat das Problem behoben, aber es ist jetzt Dezember und viele Online-Dienste werden zu diesem Zeitpunkt in einer Änderungssperre sein – das bedeutet, dass Unternehmen keine Pausen tolerieren Es wäre interessant, wenn sich dies auf den Einzelhandel ausweitet.“
Log4j ist neben vielen anderen Produkten und Diensten, auf denen Organisationen basieren, auch das Standardprotokollierungstool von Elasticsearch. Wenn Sie hoffen, dieses Wochenende früher fertig zu werden, tut es mir leid: Wie die Zeit warten Vulns auf keinen Mann. ®