На прошлой неделе к исходной уязвимости в логгере Apache log4j добавились еще две.
В дополнение к оригинальному CVE-2021-44228 , дырка была обнаружена CVE-2021-45046 .
Фактически исходный патч в log4j 2.15 не учитывал некоторые параметры обработки логов, из-за чего атака была частично возможна.
Первоначально этой проблеме был присвоен низкий рейтинг, но позже ей был присвоен рейтинг CVSS v3 9 из 10, поскольку были найдены способы запуска произвольного кода.
Обнаружение этой ошибки также дало понять, что ранее рекомендованные временные решения проблемы на самом деле не работают. 
Уязвимость была закрыта в версии 2.16.0 от 13 декабря, а 18 декабря вышел релиз 2.17.0, закрывающий третью уязвимость.
Это еще одна проблема с обработкой входящих данных, с помощью которой можно организовать DoS-атаку, отправив «волшебную строку» в логи сервера.
Частота обновлений в данном случае — скорее положительный момент, но она явно указывает на то, что код log4j ранее недостаточно исследовался на наличие уязвимостей.
Прошло две недели с момента обнаружения оригинальной уязвимости, которую иногда называют Log4Shell, но ситуация с атаками на log4j прояснеть не стала.
Сначала в Твиттере писать о появлении «червя», эксплуатирующего уязвимость, то есть вредоносной программы, в распространении которой участвуют все взломанные серверы.
После оказывается что этот самый код не работает. Сложнее всего приходится тем, кому необходимо принять меры по спасению инфраструктуры собственной компании.
Потенциальный ущерб от использования уязвимости в конкретном программном обеспечении Java неясен.
Есть давно продолжающиеся списки потенциально подвержены программным атакам, и судя по ним, вы можете пострадать как напрямую (log4j установлен непосредственно у вас), так и косвенно (уязвимость в вашем хостере, подрядчике и так далее).
Как только патч устанавливается, сразу выходит новая версия, закрывающая очередную дыру.
Независимо от последствий, ситуация нездоровая.
К сожалению, это не первый случай «хаоса с патчами» даже в этом году.
Можно вспомнить историю этого лета с многочисленными уязвимостями в системе печати Windows под названием PrintNightmare. Были дырки обнаруженный несколько сразу, закрывались несколькими последовательными патчами, иногда ломать поддержка конкретного оборудования.
Уязвимости не были закрыты полностью, и приходилось выпускать патчи за патчами.
Что общего у log4j и PrintNightmare, так это широкое использование и возможность получить высокие привилегии в системе в случае взлома.
В результате мы пошли разговоры что уязвимости в log4j теперь будут искать (и наверняка находить) долгие годы.
Что еще произошло
Команда Google Project Zero опубликовано исследование уязвимости нулевого клика в iOS, которая использовалась в эксплойте NSO Group. Специалисты «Лаборатории Касперского» проводят расследование вредоносный модуль , используемый для кражи паролей сотрудников, если они подключаются к корпоративной веб-почте на основе Outlook Web Access. После успешного взлома сервера он используется для удаленного управления.«Приятная ошибка» в коде, вообще не приводящая к каким-либо последствиям.
Исследователь Дэвид Бьюкенен обнаружил «состояние гонки» при отображении файлов PNG в браузере Safari. Ошибка приводит к бесконечным попыткам перерисовать части изображения.
Демо есть в твите выше, но вы можете попробовать сами.
Обновление Google Chrome на прошлой неделе закрыто уязвимость нулевого дня, используемая в целевых атаках.
Теги: #информационная безопасность #log4j #log4j
-
Ферма, Пьер
19 Oct, 24 -
Игра Со Списком Условий
19 Oct, 24
