Segundo a Apache Software Foundation, cerca de 17 projetos Apache são afetados pela vulnerabilidade Log4j 2. Veja quais são eles.
Durante os últimos dias na web, muito se falou sobre a vulnerabilidade Log4j, na qual vários vetores de ataque foram descobertos e várias explorações funcionais também foram filtradas para explorar a vulnerabilidade.
Até a Minecraft lançou uma correção para a vulnerabilidade crítica do Log4j, e um novo ransomware está sendo implantado em ataques Log4Shell.
A seriedade da questão é que esta é uma estrutura popular para organizar o registro em aplicativos Java, que permite a execução de código arbitrário quando um valor especialmente formatado é gravado no registro no formato “{jndi: URL}
“.
O ataque pode ser realizado em aplicativos Java que registram valores obtidos de fontes externas, por exemplo, exibindo valores problemáticos em mensagens de erro.
E é que um invasor faz uma solicitação HTTP em um sistema de destino, que gera um log usando Log4j 2 que usa JNDI para fazer uma solicitação no site controlado pelo invasor.
A vulnerabilidade, então, faz com que o processo explorado chegue ao site e execute a carga útil. Em muitos ataques observados, o parâmetro que pertence ao invasor é um sistema de registro DNS, destinado a registrar uma solicitação no site para identificar sistemas vulneráveis.
Como nosso colega Isaac já compartilhou:
“Esta vulnerabilidade do Log4j permite explorar uma validação de entrada incorreta para o LDAP, permitindo a execução remota de código (RCE), e comprometendo o servidor (confidencialidade, integridade dos dados e disponibilidade do sistema). Além disso, o problema ou a importância desta vulnerabilidade reside no número de aplicativos e servidores que a utilizam, incluindo software empresarial e serviços em nuvem como Apple iCloud, Steam ou videogames populares como Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash e um longo etc.”
Falando sobre o assunto, a Apache Software Foundation lançou recentemente um resumo de projetos que abordam uma vulnerabilidade crítica no Log4j 2 que permite a execução de código arbitrário no servidor.
Cerca de 17 projetos Apache são afetados pela vulnerabilidade Log4j 2
Os seguintes projetos Apache são afetados: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl e Calcite Avatica. A vulnerabilidade também afetou produtos GitHub, incluindo GitHub.com, GitHub Enterprise Cloud e GitHub Enterprise Server.
Nos últimos dias, houve um aumento significativo na atividade relacionada à exploração de vulnerabilidades.
Por exemplo, a Check Point registrou cerca de 100 tentativas de exploração por minuto em seus servidores desonestos em seu pico, e a Sophos anunciou a descoberta de um novo botnet de mineração de criptomoedas, formado a partir de sistemas com uma vulnerabilidade não corrigida no Log4j. Dois.
Em relação às informações que foram divulgadas sobre o problema:
- A vulnerabilidade foi confirmada em muitas imagens oficiais do Docker, incluindo couchbase, elasticsearch, flink, solr, imagens de tempestade, etc.
- A vulnerabilidade está presente no produto MongoDB Atlas Search.
- O problema aparece em uma variedade de produtos Cisco, incluindo Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
- Relatórios avançados de segurança da Web, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks, etc.
- O problema está presente no IBM WebSphere Application Server e nos seguintes produtos Red Hat: OpenShift, OpenShift Logging, Plataforma OpenStack, Integration Camel, CodeReady Studio, Data Grid, Fuse e AMQ Streams.
- Problema confirmado na plataforma de gerenciamento de rede espacial Junos, Northstar Controller/Planner, Paragon Insights/Pathfinder/Planner.
- Muitos produtos da Oracle, vmWare, Broadcom e Amazon também são afetados.
Projetos Apache que não são afetados pela vulnerabilidade Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper e CloudStack.
Os usuários de pacotes problemáticos são aconselhados a instalar urgentemente as atualizações lançadas para eles, atualizar separadamente a versão do Log4j 2 ou definir o parâmetro Log4j2.formatMsgNoLookups como verdadeiro (por exemplo, adicionando a chave “-DLog4j2.formatMsgNoLookup=True” no início )
Para bloquear o sistema vulnerável ao qual não há acesso direto, foi sugerido explorar a vacina Logout4Shell, que, por meio de um ataque, expõe a configuração Java “log4j2.formatMsgNoLookups= rue
“, “com.sun.jndi.rmi.object. trustURLCodebase=false
” e “com.sun.jndi.cosnaming.object.trustURLCodebase=false” para bloquear outras manifestações da vulnerabilidade em sistemas não controlados.