Log4Shell: RCE 0-day exploit found in log4j 2
10.12.2021
9 декабря служба облачной безопасности компании Alibaba обнародовала уязвимость «нулевого дня» в библиотеке журналирования log4j для языка программирования Java. Упомянутая уязвимость получила название Log4Shell и набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Баг допускает удаленное выполнение произвольного кода (RCE).
Apache Log4j — широко используемая библиотека регистрации данных в Java, одна из двух существующих. Она собирает информацию о событиях и ошибках, случившихся во время работы приложений, и сохраняет её в лог-файлах. Например, в веб-приложениях Log4j собирает сведения об устройствах и браузерах пользователей, а в программах для ПК и гаджетах — следит за активностью и подсчитывает время, проведённое людьми в играх.
Решение - обновить до последней версии: https://logging.apache.org/log4j/2.x/download.html ( 2.16.0)
"Если это по каким-то причинам невозможно, то в случае с версиями библиотеки от 2.10 до 2.14.1 Apache Foundation рекомендует установить системное свойство log4j2.formatMsgNoLookups, или же присвоить переменной окружения LOG4J_FORMAT_MSG_NO_LOOKUPS значение true
Для защиты более ранних релизов Log4j (от 2.0-beta9 до 2.10.0) разработчики библиотеки рекомендуют убрать класс JndiLookup из classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
"
Подробное описание уязвимости: https://www.lunasec.io/docs/blog/log4j-zero-day/
Эксплойт: https://github.com/cyberstruggle/L4sh
Список IP c которых пытаются эксплуатировать Log4Shell: https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
Apache Log4j — широко используемая библиотека регистрации данных в Java, одна из двух существующих. Она собирает информацию о событиях и ошибках, случившихся во время работы приложений, и сохраняет её в лог-файлах. Например, в веб-приложениях Log4j собирает сведения об устройствах и браузерах пользователей, а в программах для ПК и гаджетах — следит за активностью и подсчитывает время, проведённое людьми в играх.
Библиотека Log4j интегрирована в корпоративное ПО, её код встречается в программах с открытым исходным кодом, а также на серверах государственных учреждений по всему миру.
- Уязвимость получила идентификатор CVE-2021-44228 и максимальный уровень угрозы — 10 баллов из 10 возможных. Потенциально она даёт злоумышленникам удалённый доступ к миллионам устройств в интернете, на которых работает Java.
- Специалисты узнали о проблеме в ноябре, во время исследования безопасности сервера игры Minecraft. Они перехватили управление сервером, отправив сообщение в игровой чат. Первую кибератаку с использованием новой уязвимости заметили уже 1 декабря.
Решение - обновить до последней версии: https://logging.apache.org/log4j/2.x/download.html ( 2.16.0)
"Если это по каким-то причинам невозможно, то в случае с версиями библиотеки от 2.10 до 2.14.1 Apache Foundation рекомендует установить системное свойство log4j2.formatMsgNoLookups, или же присвоить переменной окружения LOG4J_FORMAT_MSG_NO_LOOKUPS значение true
Для защиты более ранних релизов Log4j (от 2.0-beta9 до 2.10.0) разработчики библиотеки рекомендуют убрать класс JndiLookup из classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
"
Подробное описание уязвимости: https://www.lunasec.io/docs/blog/log4j-zero-day/
Эксплойт: https://github.com/cyberstruggle/L4sh
Список IP c которых пытаются эксплуатировать Log4Shell: https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217