Lỗ hổng bảo mật nghiêm trọng Log4j (Apache Log4j vulnerability)

Lỗ hổng bảo mật nghiêm trọng Log4j (Apache Log4j vulnerability)

20/12/2021 Off By devk2x

Overview

Ngày 9 tháng 12 năm 2021, một lỗ hổng rất nghiêm trọng trong package gi log rất phổ biến trên Java là Log4j đã được tiết lộ. Lỗ hổng này cho phép kẻ tấn công thực thi mã trên máy chủ từ xa(RCE), đại khái là hacker có thể tận dụng lỗ hổng này để thưc thi mã code tuỳ ý trên máy chủ sau đó chiếm quyền của hệ thống. Với việc sử dụng rộng rãi của Java cũng như thư viện Log4j thì đây có thể là một trong những lỗ hổng rất nghiêm trọng trên Internet (hơn cả Heartbleed và ShellShock trước đây).
Tổ chức giám sát sự phát triển của phần mềm Apache Software Foundation xếp hạng lỗ hổng 10/10 điểm, tức ở mức nguy hiểm nhất, và đặc biệt là rất dễ khai thác, một người không thực sự chuyên nghiệp về hack cũng có thể thực hiện được. Và có rất nhiều hướng dẫn để khai thác lỗ hổng trên, ở đây là một ví dụ: https://github.com/kozmer/log4j-shell-poc (Proof-Of-Concept).
Lỗ hổng này ảnh hưởng rộng rãi tới user đang sử dụng thư viện Log4j và hiện tại đã có một số xác nhận rằng đã bị ảnh hưởng như Apache Structs2, Apache Solr, Apache Druid, Apache Flink, …

Ở thời điểm hiện tại thì nó đã được công bố rộng rãi trên internet và các công ty đang cố gắng theo dõi và cập nhật hưỡng dẫn vá lỗi cho các module có sử dụng hoặc liên quan, đa số là điều tra và update version các package liên quan đã được phía apache công bố.

Một số nội dung tóm tắt

ObjContent
CVE CodeCVE-2021-44228
DescriptionApache Log4j2 2.0-beta9 through 2.12.1 and 2.13.0 through 2.15.0 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled. From log4j 2.15.0, this behavior has been disabled by default. From version 2.16.0, this functionality has been completely removed. Note that this vulnerability is specific to log4j-core and does not affect log4net, log4cxx, or other Apache Logging Services projects.
TargetVersion 2.0 <= Apache Log4j 2 <= 2.15.0
SeverityHigh
How to response Update log4j-core version >= 2.16.0
Official linkhttps://www.cve.org/CVERecord?id=CVE-2021-44228
https://logging.apache.org/log4j/2.x/security.html
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
CVE-2021-44228



Các tài liệu và report để cập nhật thông tin và tham khảo

Thông tin được tổng hợp từ các sản phẩm hoặc dịch vụ phổ biến để làm tài liệu tham khảo