Ένα zero-day exploit που επηρεάζει το δημοφιλές βοηθητικό πρόγραμμα Apache Log4j (CVE-2021-44228) δημοσιοποιήθηκε στις 9 Δεκεμβρίου 2021 και μπορεί να επιτρέψει απομακρυσμένη εκτέλεση κώδικα (RCE).
Αυτή η ευπάθεια χρησιμοποιείται ήδη και οποιοσδήποτε χρησιμοποιεί το Log4j θα πρέπει να ενημερώσει στην έκδοση 2.15.0 το συντομότερο δυνατό. Η τελεταία έκδοση βρίσκεται ήδη στη σελίδα λήψης του Apache.
Εάν δεν είναι δυνατή η ενημέρωση στην τελευταία έκδοση, η Cloudflare διέθεσε ένα WAF tweak που μπορεί επίσης να σας προστατεύσει. Θα πρέπει να χρησιμοποιήσετε κάποιο firewall και να ορίσετε την ιδιότητα συστήματος “log4j2.formatMsgNoLookups” σε “true”. ή αφαιρώντας την κλάση JndiLookup από τη διαδρομή της κλάσης.
Όσοι χρησιμοποιούν το Cloudflare WAF μπορούν επίσης να αξιοποιήσουν τρεις νέους κανόνες που έχουν αναπτυχθεί για να μετριάσουν τυχόν προσπάθειες εκμετάλλευσης:
Rule ID | Description | Default Action |
---|---|---|
100514 (legacy WAF) 6b1cc72dff9746469d4695a474430f12 (new WAF) |
Log4j Headers | BLOCK |
100515 (legacy WAF) 0c054d4e4dd5455c9ff8f01efe5abb10 (new WAF) |
Log4j Body | BLOCK |
100516 (legacy WAF) 5f6744fa026a4638bda5b3d7d5e015dd (new WAF) |
Log4j URL | BLOCK |
Τα rules του firewall είναι τρία και επιθεωρούν HTTP headers, body και τη διεύθυνση URL αντίστοιχα.
Περισσότερες λεπτομέρειες σχετικά με την ευπάθεια μπορείτε να βρείτε στην επίσημη σελίδα ασφαλείας του Log4j.
Ποιος επηρεάζεται
Το Log4j είναι μια ισχυρή βιβλιοθήκη καταγραφής βασισμένη σε Java που αναπτύσσεται από το Ίδρυμα Λογισμικού Apache.
Σε όλες οι εκδόσεις Log4j >= 2.0-beta9 και <= 2.14.1, οι δυνατότητες JNDI που χρησιμοποιούνται στην ρύθμιση, τα μηνύματα καταγραφής και οι παράμετροι μπορούν να αξιοποιηθούν από κάποιον εισβολέα για την εκτέλεση απομακρυσμένης εκτέλεσης κώδικα. Συγκεκριμένα, ένας εισβολέας που μπορεί να ελέγξει μηνύματα καταγραφής (logs) ή παραμέτρους των μηνυμάτων καταγραφής μπορεί να τρέξει αυθαίρετο κώδικα που έχει φορτωθεί από διακομιστές LDAP όταν είναι ενεργοποιημένη η αντικατάσταση της αναζήτησης μηνυμάτων.