Открита втора уязвимост на Log4j, корекцията вече е пусната

Втора уязвимост, включваща Apache Log4j, беше открита във вторник, след като експерти по киберсигурност прекарани дни опит за закърпване или смекчаване CVE-2021-44228.

Описанието на новата уязвимост, CVE 2021-45046, казва корекцията на адреса CVE-2021-44228 в Apache Log4j 2.15.0 беше "непълен в определени конфигурации, които не са по подразбиране."

„Това може да позволи на нападателите... за създаване на злонамерени входни данни с помощта на JNDI Lookup шаблон, водещ до атака за отказ на услуга (DOS)," се казва в описанието на CVE.

Apache вече е пуснат корекция, Log4j 2.16.0, за този проблем. CVE казва, че Log4j 2.16.0 коригира проблема, като премахва поддръжката за модели за търсене на съобщения и деактивира JNDI функционалността по подразбиране. Отбелязва се, че проблемът може да бъде смекчен в предишни версии чрез премахване на класа JndiLookup от classpath.

Каза Джон Бамбенек, главен ловец на заплахи в Netenrich ZDNet решението е да деактивирате изцяло JNDI функционалността (което е поведението по подразбиране в най-новата версия).

„Поне дузина групи използват тези уязвимости, така че трябва да се предприемат незабавни действия или корекция, премахване на JNDI или изваждане от пътеката на класа (за предпочитане всичко по-горе)," Bambenek казах.

Оригиналният недостатък в Log4j, библиотека на Java за регистриране на съобщения за грешки в приложения, има доминирани заглавия от миналата седмица. Подвизи започна на 1 декември, според Cloudflare, и инициал предупреждение от CERT Нова Зеландия предизвика други от CISA и Националния център за киберсигурност на Обединеното кралство.

Холандският национален център за киберсигурност освободен дълъг списък от софтуер, който е засегнат от уязвимостта.

Международната компания за сигурност ESET публикува карта, показваща къде са правени опити за експлоатация на Log4j, като най-големият обем е в САЩ, Обединеното кралство, Турция, Германия и Холандия.

„Обемът на нашите открития потвърждава, че това е мащабен проблем, който няма да изчезне скоро“, каза Роман Ковач, главен изследователски директор в ESET.

Много компании вече изпитват атаки, използващи уязвимостта; каза платформата за сигурност Armis ZDNet че е открил опити за атака на log4shell в над една трета от своите клиенти (35%). Нападателите са насочени към физически сървъри, виртуални сървъри, IP камери, производствени устройства и системи за обслужване.