AppsecZone

Эксперты выявили новый локальный вектор атаки уязвимости Log4Shell

Эксперты выявили новый локальный вектор атаки уязвимости Log4Shell Эксперты выявили новый локальный вектор атаки уязвимости Log4Shell Эксперты выявили новый локальный вектор атаки уязвимости Log4Shell
20.12.2021
Исследователи в области кибербезопасности обнаружили новый вектор атаки, позволяющий злоумышленникам локально использовать уязвимость Log4Shell ( CVE-2021-44228 ) в серверах с помощью соединения JavaScript WebSocket, рассказывает SecurityLab.

По словам технического директора Blumira Мэтью Уорнера (Matthew Warner), эксплуатация уязвимости возможна при посещении web-сайта пользователем, у которого установлена уязвимая версия Log4j на ПК или в локальной сети. Ранее эксперты полагали, что влияние Log4j ограничивалось уязвимыми серверами. В настоящее время нет свидетельств использования нового вектора в реальных атаках. Вектор значительно расширяет поверхность атаки и может повлиять даже на службы, работающие как localhost.

Проблему можно решить, обновив все локальные и подключенные к Сети среды разработки до версии Log4j 2.16.0, однако это не единственная уязвимость в Log4j. Apache выпустила версию 2.17.0, которая устраняет новую уязвимость ( CVE-2021- 45105 ) в Log 4j2. Это уже третья по счету проблема после CVE-2021-45046 и CVE-2021-44228.

Полный список уязвимостей Log4Shell включает:


  • CVE-2021-44228 (максимальные 10 баллов по шкале CVSS) — уязвимость удаленного выполнения кода, затрагивающая версии Log4j от 2.0-beta9 до 2.14.1. Проблема исправлена в версии 2.15.0.
  • CVE-2021-45046 (9,0 баллов по шкале CVSS) — уязвимость позволяет похитить информацию и удаленно выполнить код. Затрагивает версии Log4j от 2.0-beta9 до 2.15.0, за исключением 2.12.2. Исправлена в версии 2.16.0.
  • CVE-2021-45105 (7,5 баллов по шкале CVSS) — DoS-уязвимость, затрагивающая версии Log4j от 2.0-beta9 до 2.16.0. Исправлена в версии 2.17.0.
  • CVE-2021-4104 (оценка по CVSS: 8,1) — уязвимость небезопасной десериализации, затрагивающая версии Log4j 1.2. Исправление отсутствует, необходимо обновиться до версии 2.17.0.

По словам специалистов из румынской ИБ-компании Bitdefender, легко используемая и широко распространенная уязвимость представляет собой прекрасную возможность для злоумышленников. В ходе более 50% атак на ханипоты использовалось программное обеспечение Tor. Согласно данным телеметрии, собранным с 11 по 15 декабря, только на Германию и США пришлось 60% всех попыток эксплуатации уязвимости. Наиболее частыми целями атак в данный период были США, Канада, Великобритания, Румыния, Германия, Австралия, Франция, Нидерланды, Бразилия и Италия.

Кроме того, команда Google Open Source Insights Team обнаружила , что 35 863 пакета Java, составляющих более 8% репозитория Maven Central, используют уязвимые версии библиотеки Apache Log4j. Из затронутых артефактов только около 7 тыс. пакетов напрямую зависят от Log4j. Кроме того, 2620 уязвимых пакетов были обновлены менее чем через неделю после раскрытия информации о проблеме.

Комментарии 0


Назад