A Log4J sebezhetőség fenyegeti a Minecraftot és sok más alkalmazást is

Egy feltehetően kínai hacker olyan kódot tett közzé, amely a Log4J naplózási eszköz sebezhetőségét használja ki. A legrobbanásveszélyesebb az, hogy a sebezhetőség bizonyos körülmények között nagyon könnyen kihasználható, és hogy a nyílt forráskódú Log4J eszköz is nagyon elterjedt, és számos webes alkalmazásban használják.

Amint arról az Arstechnica beszámolt, a sebezhetőségre először a Minecraft játékosokat célzó oldalakon figyeltek fel. Arra figyelmeztettek, hogy a Minecraft Java-alapú kliens- és szerverváltozatai érintettek a sebezhetőségben, és a chat-üzenetek is elegendőek lehetnek a sebezhetőség kihasználásához. Elméletileg az összes kliens, amelyik bejelentkezik egy adott Minecraft-szerverre, átvehető.

A fejlesztő Mikael Hedberg, alias Slicedlime a Twitteren megerősítette a súlyos hiányosságot, és azt javasolja, hogy minden felhasználó indítsa újra. Az indítóprogram letölt egy frissítést, amely bezárja a rést. A szerver hosztoknak meg kell változtatniuk egy konfigurációt, a Minecraft szerver frissítése következik.

Kevés követelmény a sikeres hasznosításhoz
Magáról a sebezhetőségről a Luna Sec biztonsági szakemberei azt írják, hogy a sebezhető Log4J verzió mellett csak két feltétel szükséges a sebezhetőség sikeres kihasználásához. Először is, szükség van valamilyen végpontra, amely protokollhíváson keresztül elérhető (HTTP, TCP stb.) és karakterláncokat fogad el. Ezután már csak egy naplóhívásra van szükség, amely a Log4J-n keresztül naplózza a karakterláncot.

Az első közzétett exploitban a hívás ezután a JNDI-n és az LDAP-on keresztül további rosszindulatú kódot tartalmazó szerverpéldányra hivatkozik. Nem ellenőrzik azonban, hogy a hívott kiszolgáló a felhasználó saját ellenőrzése alatt áll-e vagy sem. Ez végső soron lehetővé teszi a kívülről érkező támadásokat.

A Luna Sec szerint egyes Java-verziók más óvintézkedések miatt nem érintettek kifejezetten az LDAP-on keresztüli megközelítésben, de a sebezhetőségnek más támadási vektorai is vannak, írja a cég. A JNDI-n keresztül történő hasonló támadásokat évek óta újra és újra leírják.

Mint említettük, a Log4J rendkívül elterjedt, és számos Apache Foundation projektben használják, például a Flinkben, a Solrban vagy a Struts2-ben. A Hackernews portál arról is beszámol, hogy többek között a Valve Steamje vagy az Apple iCloudja is sebezhető a résen. Az esetlegesen érintett alkalmazások és online szolgáltatások teljes terjedelme még nem látható előre.

Most azonban a Twitteren is vannak kisebb és rövidebb példák, amelyek azt mutatják, hogyan lehet kihasználni a rést az asztali alkalmazásokban, például a Ghidrában, amikor ott töltik be a fájlokat. Ezért feltételezhető, hogy valójában minden olyan alkalmazás, amely a Log4J funkcióit, beleértve a JNDI-t is, saját céljaira használja, sebezhető lehet.

A sebezhetőséget mostantól CVE-2021-44228 CVE-számmal jelölik. A fejlesztők biztonsági bejegyzése szerint a sebezhető viselkedést a 2.15-ös verzióval deaktiválták. Ez letölthető. A 2.0 és 2.14.1 közötti verziók azonban elméletileg sebezhetőek. Az Apache Foundation szerint a sebezhetőséget Chen Zhaojun, az Alibaba Cloud Security Team munkatársa találta meg.