W ubiegłym tygodniu twórcy platformy bezpieczeństwa typu open source LunaSec odkryli lukę zero-day, która ma wpływ na szeroko stosowaną bibliotekę logów opartą na Javie. Luka, zidentyfikowana w poście na blogu jako Log4Shell (CVE-2021-44228), może dać stronom trzecim możliwość aktywacji złośliwego kodu na podatnych systemach.
Odkrycie podatności przypisuje się badaczom z LunaSec i Chen Zhaojun z Alibaba Cloud Security. Ta wykorzystuje szeroko stosowane narzędzie log4j do rejestrowania oparte na Apache, pozwalając na logowanie do danych serwera ze złośliwymi ładunkami, które uruchamiają serię działań w celu załadowania dodatkowego ładunku. Ten dodatkowy element umożliwia zdalne wykonanie kodu w systemie, który został zainfekowany w ten sposób.
Badacze odpowiedzialni za zidentyfikowanie luki, wykryli ją początkowo na serwerach Minecrafta.
Badacze odpowiedzialni za zidentyfikowanie luki, wykrytej początkowo na serwerach Minecrafta, uważają, że setki tysięcy firm i systemów może być zagrożonych z powodu powszechnego korzystania z usługi logowania opartej na Apache. Analitycy zidentyfikowali już kilka dużych firm i usług podatnych na to zagrożenie, w tym Amazon, Apple, Elastic, Steam, Tencent i Twitter. Dyrektor ds. bezpieczeństwa cybernetycznego Narodowej Agencji Bezpieczeństwa, Robert Joyce, potwierdził, że GHIDRA, narzędzie do inżynierii wstecznej o otwartym kodzie źródłowym, również zostało dotknięte tym problemem.
LunaSec zauważa, że każdy, kto używa frameworku Apache Struts, jest prawdopodobnie narażony na ataki. Później rozszerzono tę informację, wskazując, że wersje JDK nowsze niż 6u211, 7u201, 8u191 i 11.01 nie są objęte wektorem ataku opartym na LDAP. Nie oznacza to jednak, że nowsze wersje są całkowicie odporne, ponieważ alternatywne wektory ataków mogą nadal być wykorzystywane do wykorzystania luki Log4Shell w celu zainicjowania zdalnego wykonania kodu.
Odkrycie LunaSec i wynikające z niego łatki CVE zapewniają systemom, których dotyczy problem, tymczasowe i trwałe kroki łagodzące, aby upewnić się, że exploit nie wpłynie negatywnie na ich serwery i operacje. Zaktualizowana wersja usługi log4j, v2.15.0, naprawia exploit i została udostępniona do pobrania. W CVE przewidziano również tymczasowe łagodzenie skutków dla organizacji, które nie mogą obecnie zaktualizować swojej usługi log4j.
Zobacz także:
- Niemożliwe! MSI obniża ceny kart graficznych RTX 3000. Dla równowagi podrożeją Radeony...
- PlayStation 5 vs. Xbox Series X|S - ankieta ujawnia, którą konsolę wolą gracze
- Mercedes-Benz z pierwszą homologacją dla zautomatyzowanego systemu jazdy 3 poziomu. Tesla w tyle...
Pokaż / Dodaj komentarze do: Wykryto krytyczną lukę w wielu aplikacjach i serwerach bazujących na Javie. Zagrożeni nawet giganci