Серьезный недостаток безопасности Log4j ставит под угрозу весь Интернет, даже iCloud и Steam

герой хакер кибербезопасность
Возможно, вы слышали о недавнем розыгрыше в Minecraft . Отправляя сообщение чата, начинающееся с «${jndi:ldap://», пользователи могли сделать так, чтобы клиент Minecraft их друзей открывал окно браузера и переходил на определенный веб-сайт. Так что, естественно, шутники отправляли своих друзей на всевозможный шокирующий и отвратительный контент, который, казалось, был каким-то конкретным недостатком безопасности Minecraft .
К несчастью для всех, оказалось, что розыгрыш на самом деле не эксплуатировал недостаток в Minecraft . , а на самом деле в библиотеке Apache Log4j, которую Minecraft использует для логирования. Проблема в том, что Minecraft — всего лишь одно из тысяч и тысяч веб-приложений и других приложений, использующих Log4j. При исследовании корня этого эксплойта на самом деле проще говорить о том, что не затронуто, чем о том, что затронуто. Огромный сервис распространения игр Steam

от Valve и iCloud от Apple — это всего лишь пара высококлассных сервисов, которые пострадали от этого эксплойта. , а также почти каждый веб-хост в мире. Этот недостаток на самом деле является чрезвычайно распространенным типом эксплойта в приложениях Java из-за того, как работает Java. По сути, Java печально известна своей тенденцией смешивать код и данные, и без тщательного учета этой природы легко могут возникнуть подобные ошибки.
Логотип Apache Log4j
Что на самом деле происходит в этом случае, так это то, что инструмент Log4j превращает строки, предназначенные для входа в исполняемый код. Если сервер использует Log4j для синтаксического анализа любого введенного пользователем текста в любом месте, этот текст может быть отформатирован так, чтобы содержать команду, которая затем выполняется на удаленном компьютере, что, в свою очередь, эффективно может обеспечить выполнение удаленного кода пользователя на хост-системе с полной системой. — уровень привилегий. Нам, вероятно, не нужно объяснять, почему это огромная проблема, но на всякий случай это, по сути, дает любому пользователю полный административный контроль над каждой системой, на которой работает Log4j.

Ошибка уже исправлена ​​в Log4j версии 2.15.0, но пакет протоколирования включен в невероятное количество приложений, даже в те, которые вы не ожидаете. Приложение не обязательно должно быть написано на Java, чтобы использовать log4j. Сторонние разработчики приложений могут медленно исправлять свое программное обеспечение, а в некоторых случаях могут даже не знать, что фактически включают log4j в качестве зависимости. Если у вас есть система, которая не исправлена ​​или не может быть исправлена, существуют обходные пути, которые группа Apache подробно описывает на странице уязвимостей безопасности здесь .

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал