Javën e kaluar një cenueshmëri kritike (i riemërtuar “Log4Shell”, “CVE-2021-44228” ose “LogJam”) u zbulua në bibliotekën Apached Log4j që miliona aplikacione Java përdorin për të regjistruar regjistrat e gabimeve. Fatkeqësisht, cenueshmëria prek qindra miliona pajisje: nëse shfrytëzohet siç duhet, i lejon sulmuesit të ekzekutojnë kode arbitrare dhe, potencialisht, të marrin kontrollin e plotë të një sistemi.
Një dobësi që mund të shfrytëzohet edhe nga hakerë të papërvojë
CVE-2021-44228 është një cenueshmëri e lartë e ekzekutimit të kodit në distancë (RCE) për lejimin e ekzekutimit të kodit në distancë pa vërtetim. Përveç ndikimit në një numër mbresëlënës shërbimesh/softuerësh, kjo dobësi tashmë është shfrytëzuar nga hakerat (sulmet e para datojnë në 2 dhjetorin e kaluar).
Të gjitha produktet që përdorin këtë bibliotekë (nga versioni 2.0-beta9 në 2.14.1) janë të ekspozuar ndaj këtij CVE të ri. Ajo që e bën CVE-2021-44228 kaq të rrezikshëm është lehtësia e shfrytëzimit të tij: edhe një haker fillestar mund të ekzekutojë me sukses një sulm duke përdorur këtë dobësi. Sulmuesit, në fakt, duhet të detyrojnë aplikacionin të shkruajë vetëm një varg në regjistër dhe më pas të ngarkojnë kodin e tij në aplikacion falë funksionit të zëvendësimit të kërkimit të mesazheve. Në këtë mënyrë, hakerët mund të transferojnë informacion në një server të kontrolluar prej tyre, duke çuar në ekzekutimin arbitrar të kodit ose një rrjedhje të informacionit konfidencial ose sulme të tjera të gjerë.
Evgeny Lopatin, ekspert i sigurisë në Kaspersky, komentoi: “Ajo që e bën këtë cenueshmëri veçanërisht të rrezikshme nuk është vetëm fakti që sulmuesit mund të fitojnë kontrollin e plotë të sistemit, por sa e lehtë është për t’u shfrytëzuar. Edhe një haker i papërvojë mund të përfitojë prej tij. Avantazhi . Tashmë po shohim që kriminelët kibernetikë po kërkojnë në mënyrë aktive softuer për t’u shfrytëzuar me këtë CVE. Megjithatë, lajmi i mirë është se një zgjidhje e besueshme sigurie mund të mbrojë përdoruesit.”
Për të mbrojtur veten nga ky kërcënim i ri, ekspertët e Kaspersky rekomandojnë shkarkimin e versionit më të fundit të bibliotekës. Në rast se versioni nuk mund të përditësohet, një sërë metodash zbutëse janë të disponueshme në faqen Apache Log4j 2 për të bllokuar manualisht këtë dobësi. Për shembull, përdoruesit e Java 8 (ose më vonë) duhet të përmirësojnë në versionin 2.16.0; ata me Java 7 kanë nevojë për patch-in e versionit 2.12.2 (do të jetë i disponueshëm së shpejti); në raste të tjera është e nevojshme të hiqni klasën JndiLookup nga classpath: zip -q -d log4j-core – *. jar org / apache / logging / log4j / core / lookup / JndiLookup.class.
Discussion about this post