Kritická zranitelnost v knihovně Apache Log4j

Různé zpravodajské zdroje informovaly o objevení kritické zranitelnosti CVE-2021-44228 v knihovně Apache Log4j (úroveň závažnosti CVSS 10 z 10). Miliony Java aplikací používají tuto knihovnu k protokolování chybových zpráv. Aby toho nebylo málo, útočníci již tuto zranitelnost aktivně využívají.

CVE-2021-44228, také nazývaná Log4Shell nebo LogJam, je chyba zabezpečení třídy vzdáleného spuštění kódu (RCE). Pokud se útočníkům podaří jej zneužít na jednom ze serverů, získají možnost spouštět libovolný kód a potenciálně převzít plnou kontrolu nad systémem.

Vše, co je od protivníka vyžadováno k využití zranitelnosti, je poslat speciálně vytvořený řetězec obsahující škodlivý kód, který je zaznamenán pomocí Log4j verze 2.0 nebo vyšší, což umožňuje aktérovi hrozby načíst libovolný kód z domény kontrolované útočníkem na citlivý server a převzít kontrolu.

Podle W3Techs odhadem 31,5 % všech webových stránek běží na serverech Apache. Seznam společností se zranitelnou infrastrukturou údajně zahrnuje Apple, Amazon, Twitter a Cloudflare. Výrobci včetně společností Cisco, VMware a Red Hat vydali upozornění na potenciálně zranitelné produkty.

Téměř všechny verze Log4j jsou zranitelné, počínaje 2.0-beta9 až 2.14.1. Z tohoto důvodu Apache Foundation doporučuje všem vývojářům aktualizovat knihovnu na verzi 2.15.0. Pokud to není možné, použijte jednu z metod popsaných na stránce Apache Log4j Security Vulnerabilities. Jedno z doporučení v případě verzí Log4J od 2.10 do 2.14.1, je nastavit systémovou vlastnost log4j2.formatMsgNoLookups nebo nastavit proměnnou prostředí LOG4J_FORMAT_MSG_NO_LOOKUPS na hodnotu true.

Zdá se, že „vakcína“ proti zranitelnosti Log4Shell nabízí způsob, jak snížit riziko rozšířené chyby ovlivňující servery, na kterých běží Apache Log4j. Skript byl vyvinut výzkumníky z bezpečnostního dodavatele Cybereason a uvolněn v pátek večer po odhalení kritické zero-day zranitelnosti ve čtvrtek.

Společnost Cybereason popsala opravu jako „vakcínu“, protože funguje tak, že využívá samotnou zranitelnost Log4Shell. „Oprava využívá samotnou chybu zabezpečení k nastavení příznaku, který ji vypne,“ napsal Striem-Amit v příspěvku na blogu. Protože je zranitelnost tak snadno zneužitelná a všudypřítomná, je to jeden z mála způsobů, jak ji v určitých scénářích uzavřít.

„Vakcína“ Logout4Shell v podstatě poskytuje bezpečnostním týmům nějaký čas, protože pracují na zavedení oprav, uvedl Striem-Amit. Oprava deaktivuje zranitelnost a umožňuje organizacím zůstat chráněni, zatímco aktualizují své servery.

https://venturebeat.com/2021/12/11/vaccine-against-log4shell-vulnerability-has-potential-and-limitations/
https://www.kaspersky.com/blog/log4shell-critical-vulnerability-in-apache-log4j/43124/
https://thehackernews.com/2021/12/apache-log4j-vulnerability-log4shell.html
https://arstechnica.com/information-technology/2021/12/the-log4shell-zeroday-4-days-on-what-is-it-and-how-bad-is-it-really/