Вышло еще одно обновление для библиотеки Log4j, в которой в начале декабре обнаружили множество опасных проблем. В свежей версии 2.17.1 исправлена недавно обнаруженная RCE-уязвимость CVE-2021-44832.
Уязвимости
Проблемы в популярной библиотеке журналирования Log4j, которая входит в состав Apache Logging Project, останутся с нами надолго. Ранее мы подробно рассказывали о багах в Log4j в целом и исходной уязвимости Log4Shell в частности. Но позже в библиотеке были найдены дополнительные баги.
Хотя критический риск, связанный с исходным эксплоитом для Log4Shell (CVE-2021-44228), явно является основной проблемой, более мягкие варианты уязвимости были устранены в версиях 2.15 и 2.16. Затем в библиотеке был обнаружен еще одна DoS-баг, и разработчики выпустили версию 2.17.
К сожалению, разными недостатками в Log4j уже активно злоупотребляют майнеры, APT-группировки, операторы шифровальщиков (в том числе Khonsari, Conti и TellYouThePass) и другой малвари, включая известный банковский троян Dridex. При этом сложно назвать компанию, сайт или приложение, которые вовсе не используют потенциально уязвимые продукты.
Свежая RCE-уязвимость CVE-2021-44832, обнаруженная в составе Log4j 2.17.0, — это уже пятый недостаток, спешно запатченный в библиотеке в этом месяце. Баг получил оценку 6,6 балла по шкале CVSS и связан с отсутствием дополнительных элементов управления доступом JNDI.
Баг обнаружил эксперт Checkmarx Янив Низри, сообщив о нем у себя в Twitter.
Stay tuned for a blogpost 😉 pic.twitter.com/D56WpVsuF3
— Yaniv Nizry (@YNizry) December 28, 2021
Издание Bleeping Computer отмечает, что ИБ-сообщество отреагировало на твит специалиста весьма бурно, так как от всё новых и новых проблем в Log4j уже устали все.
«Мы давно прошли отметку, после которой единственное, что нужно сделать — поставить гигантскую неоновую вывеску с мигающей надписью: “LOG4J НЕ МОЖЕТ БЫТЬ ИСПРАВЛЕНА, НЕ ИСПОЛЬЗУЙТЕ ЕЕ НИГДЕ”», — шутят пользователи в ответ.
Так как твит Низри не содержал почти никаких подробностей об уязвимости и ее эксплуатации, а официальных рекомендаций и памяток о новом баге еще не было, другие специалисты взялись проверять его заявление и посетовали, что информация о баге была раскрыта преждевременно.
К примеру, Марк Роджерс, вице-президент по кибербезопасности в компании Okta, сообщил, что идентификатор уязвимости — CVE-2021-44832, а использование ошибки зависит от нестандартной настройки Log4j, когда конфигурация загружается с удаленного сервера.
Looks like log4j CVE-2021-44832 has non default preconditions: “You are loading configuration from a remote server and/or someone can hijack/modify your log4j configuration file
— Marc Rogers (@marcwrogers) December 28, 2021
You are using the JDBC log appender with a dynamic URL address.”
Пока исправленная версия 2.17.1 представлена только для Java 8, но ожидается, что в ближайшее время будут выпущены версии 2.12.4 (Java 7) и 2.3.2 (Java 6), тоже содержащие патч.