Число проблем с уязвимостью Log4j продолжают нарастать, и в пятницу Apache Software Foundation (ASF) выпустила еще один патч - 2.17.0 - для широко используемой библиотеки протоколирования, которая может быть использована злоумышленниками для организации атак типа «отказ в обслуживании» (DoS).
CVE-2021-45105 (CVSS-рейтинг: 7.5) – уязвимость, затрагивающая все версии инструмента от 2.0-beta9 до 2.16.0. Уязвимость появилась вследствие попыток разработчика устранить уязвимость удаленного выполнения кода (CVE-2021-45046), которая, в свою очередь, возникла из-за «неполного» исправления CVE-2021-44228 (известной как Log4Shell).
«Apache Log4j2 версий 2.0-alpha1 - 2.16.0 не защищен от неконтролируемой рекурсии при самореферентном поиске» - поясняет ASF в патч-ревью. «Когда в конфигурации протоколирования используется нестандартная компоновка шаблона с контекстным поиском (например, $${ctx:loginId}), злоумышленники, имеющие контроль над входными данными Thread Context Map (MDC), могут ввести вредоносные входные данные, содержащие рекурсивный поиск, что приведет к ошибке StackOverflowError и завершению процесса».
Хидеки Окамото из Akamai Technologies и анонимный исследователь уязвимостей сообщили об этом дефекте. Log4j версии 1.x, однако, не затронут уязвимостью CVE-2021-45105.
Стоит отметить, что оценка критичности CVE-2021-45046, первоначально классифицированного как DoS, была изменена с 3.7 до 9.0, чтобы отразить тот факт, что злоумышленник может использовать уязвимость для отправки специально созданной строки, что приводит к «утечке информации и удаленному выполнению кода в некоторых средах и локальному выполнению кода во всех средах», что подтверждает предыдущий отчет исследователей безопасности из Praetorian.
Сопровождающие проекта также отметили, что Log4j версии 1.x достиг конца срока службы и больше не поддерживается, и что недостатки безопасности, обнаруженные в утилите после августа 2015 года, не будут исправлены, призывая пользователей перейти на Log4jv2, чтобы получить последние исправления.
Новые патчи выходят в весьма динамичной ситуации, когда Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило экстренное распоряжение, предписывающее федеральным гражданским ведомствам и агентствам немедленно исправить свои системы с доступом в интернет и использующие Apache до 23 декабря 2021 года, ссылаясь на то, что слабые места представляют «неприемлемый риск».
События также связаны с тем, что уязвимости Log4j стали прибыльным вектором атак и точкой приложения усилий различных хакерских групп, включая поддерживаемых государством хакеров из Китая, Ирана, Северной Кореи и Турции, а также банду шифровальщиков Conti, для осуществления целого ряда вторичных вредоносных действий. Это первый случай, когда уязвимость попала в поле зрения комплексного преступного картеля.
«Эксплуатация уязвимости привела к появлению множества сценариев использования, с помощью которых группа Conti проверяла возможности использования эксплойта Log4jv2» - заявили исследователи AdvIntel. «Преступники нацелились на уязвимые серверы VMware vCenter для латерального перемещения по скомпрометированной сети, что привело к получению доступа к vCenter в американских и европейских сетях жертв из уже существующих сессий Cobalt Strike».
Среди прочих, кто использует эту ошибку, - майнеры криптовалюты, ботнеты, трояны удаленного доступа, брокеры начального доступа и новый штамм шифровальщика под названием Khonsari. Израильская компания Check Point, занимающаяся вопросами безопасности, заявила, что на сегодняшний день зафиксировано более 3,7 миллионов попыток эксплуатации, причем 46% этих вторжений были совершены известными киберпреступными группами.
Источник: https://thehackernews.com