Vulnerabilidade crítica CVSS 10 na biblioteca Apache Log4j

13/12/2021 mindsecblog Notícias 6

Vulnerabilidade crítica CVSS 10 na biblioteca Apache Log4j. Os pesquisadores descobriram uma vulnerabilidade crítica na biblioteca Apache Log4j, com pontuação perfeita de 10 em 10 no CVSS. Veja como se proteger contra isso.

Log4Shell, um exploit de dia zero na popular biblioteca de log Java log4j2 tornou vulneráveis serviços em nuvem como Steam e Apple iCloud, bem como aplicativos como Minecraft.

Em uma postagem do blog , pesquisadores do LunaSec, disseram que qualquer um que usa o Apache Struts também está vulnerável, acrescentando que vulnerabilidades semelhantes foram exploradas antes em ataques como a violação Equifax em 2017.

Os pesquisadores disseram que a exploração resulta em uma execução remota de código (RCE) ao se registrar em uma determinada string. Dada a popularidade da biblioteca, os pesquisadores disseram que o impacto da vulnerabilidade (CVE-2021-44228) é “bastante grave”.

Vários veículos de notícias de segurança da informação relataram a descoberta da vulnerabilidade crítica CVE-2021-44228 na biblioteca Apache Log4j (nível de gravidade CVSS 10 de 10). Milhões de aplicativos Java usam essa biblioteca para registrar mensagens de erro. Para piorar a situação, os invasores já estão explorando ativamente essa vulnerabilidade. Por esse motivo, a Apache Foundation recomenda que todos os desenvolvedores atualizem a biblioteca para a versão 2.15.0 e, se isso não for possível, use um dos métodos descritos na página Apache Log4j Security Vulnerabilities .

Log4j2 se tornou a estrutura de registro mais popular no ecossistema Java e é usado por milhões de aplicativos, disse Arshan Dabirsiaghi, cofundador e cientista-chefe da Contrast Security. Dabirsiaghi disse que essa exploração de dia zero afeta qualquer aplicativo que use o Log4j2 e permite que os invasores executem códigos maliciosos e comandos em outros sistemas.

“Não se engane, esta é a maior vulnerabilidade do Java que vimos em anos”, disse ele. “É absolutamente brutal. Qualquer aplicativo de nuvem escrito em Java com esta biblioteca de registro popular é afetado. ”

Chris Morgan, analista sênior de inteligência de ameaças cibernéticas da Digital Shadows, explicou que uma solução alternativa foi lançada para lidar com a vulnerabilidade, que vem como parte do Log4j2 versão 2.15.0. Morgan disse que isso supostamente altera uma configuração do sistema de “falso” para “verdadeiro” por padrão. Os usuários que alteram a configuração de volta para “falsa” permanecem vulneráveis a ataques e, como resultado, Morgan recomenda enfaticamente que as equipes de segurança não retornem a configuração anterior.

“Dada a escala dos dispositivos afetados e a capacidade de exploração do bug, é altamente provável que atraia uma atenção considerável tanto de cibercriminosos quanto de atores associados a estados-nação”, disse Morgan. “As organizações são aconselhadas a atualizar para a versão 2.15.0 e colocar vigilância adicional nos logs associados aos aplicativos suscetíveis.”

Saryu Nayyar, CEO da Gurucul, acrescentou que os RCEs são o pesadelo de todos os SOC. Nayyar disse que a capacidade de um invasor baixar uma carga mal-intencionada em uma rede, muitas vezes aumentando os privilégios, e executar esse código para roubar dados ou causar outros danos mantém a maioria dos profissionais de segurança acordados à noite.

“Hoje, temos uma vulnerabilidade de dia zero na biblioteca de registro log4j2 que fornece exatamente esse problema”, disse Nayyar. “As APIs estão se tornando um grande problema em segurança cibernética e essa vulnerabilidade requer apenas uma string no comando para ser explorada. E essa biblioteca altamente usada provavelmente está em milhões de aplicativos. Mais imediatamente, as equipes de desenvolvimento precisam parar de usar sua funcionalidade de registro. A longo prazo, os analistas do SOC devem examinar seus aplicativos com o objetivo de descobrir quaisquer explorações que já ocorreram. ”

Por que CVE-2021-44228 é tão perigoso

CVE-2021-44228, também denominado Log4Shell ou LogJam, é uma vulnerabilidade da classe Remote Code Execution (RCE) . Se os invasores conseguirem explorá-lo em um dos servidores, eles ganham a capacidade de executar código arbitrário e, potencialmente, assumir o controle total do sistema.

O que torna o CVE-2021-44228 especialmente perigoso é a facilidade de exploração: até mesmo um hacker inexperiente pode executar um ataque com sucesso usando esta vulnerabilidade. De acordo com os pesquisadores, os invasores precisam apenas forçar o aplicativo a gravar apenas uma string no log e, depois disso, podem carregar seu próprio código no aplicativo devido à função de message lookup substitution .

Provas de conceito (PoC) para os ataques via CVE-2021-44228 já estão disponíveis na Internet. Portanto, não é surpreendente que as empresas de segurança cibernética já estejam registrando varreduras massivas de rede para aplicativos vulneráveis, bem como ataques a honeypots.

Esta vulnerabilidade foi descoberta por Chen Zhaojun, da equipe de segurança da nuvem Alibaba.

O que é Apache Log4J e por que essa biblioteca é tão popular?

Apache Log4j faz parte do Apache Logging Project. Em geral, o uso dessa biblioteca é uma das maneiras mais fáceis de registrar erros e é por isso que a maioria dos desenvolvedores Java a usa.

Muitas grandes empresas de software e serviços online usam a biblioteca Log4j, incluindo Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter e muitos mais. Por ser a biblioteca tão popular, alguns pesquisadores de segurança da informação esperam um aumento significativo nos ataques a servidores vulneráveis nos próximos dias.

Quais versões da biblioteca Log4j são vulneráveis e como você pode proteger seus servidores de ataques?

Quase todas as versões do Log4j são vulneráveis, a partir de 2.0-beta9 a 2.14.1. O método de proteção mais simples e eficaz de se proteger é instalar a versão mais recente da biblioteca, 2.15.0 . Você pode baixá-lo na página do projeto .

Se por algum motivo não for possível atualizar a biblioteca, a Apache Foundation recomenda o uso de um dos métodos de mitigação. No caso das versões Log4J de 2.10 a 2.14.1, eles aconselham definir a propriedade de sistema log4j2.formatMsgNoLookups ou definir a variável de ambiente LOG4J_FORMAT_MSG_NO_LOOKUPS como true .

Para proteger as versões anteriores do Log4j (de 2.0-beta9 a 2.10.0), os desenvolvedores da biblioteca recomendam remover a classe JndiLookup do caminho de classe: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup .class .

Além disso, é recomendado instalar soluções de segurança em seus servidores que permitam que você detecte o lançamento de código malicioso e interrompa o desenvolvimento do ataque.