การตรวจสอบการใช้ประโยชน์จาก Log4j2 ด้วย Silverfort
ธันวาคม 12th, 2021 Yaron Kassner
Apache Log4j เป็นยูทิลิตีการบันทึกแบบโอเพ่นซอร์สที่ใช้ Java ซึ่งใช้กันอย่างแพร่หลายโดยแอปพลิเคชันระดับองค์กร ชุมชนความปลอดภัยเพิ่งค้นพบช่องโหว่ Log4jl ใหม่ (CVE-2021-44228) ที่ช่วยให้ผู้โจมตีระยะไกลที่ควบคุมเขตข้อมูลบันทึกในบางแอปพลิเคชัน สามารถใช้ประโยชน์จาก Log4j เพื่อเรียกใช้โค้ดจากระยะไกลบนแอปพลิเคชันเป้าหมาย ตัวอย่างเช่น ผู้โจมตีอาจทำให้แอปพลิเคชันบันทึกฟิลด์ที่มีสตริงในรูปแบบ ${jndi:} หากผู้โจมตีทำให้แอปพลิเคชันบันทึกสตริงในรูปแบบ ${jndi:} แอปพลิเคชันจะเข้าถึง URL ldap://example.com/a เพื่อโหลด วัตถุ. หากแฮ็กเกอร์ควบคุม example.com ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อโหลดออบเจ็กต์ที่ตนเลือกไปยังหน่วยความจำของแอปพลิเคชัน
ช่องโหว่นี้ถูกนำไปเปรียบเทียบกับ HeartBleed และ ShellShock เนื่องจากมีผลกระทบในวงกว้าง แอปพลิเคชันส่วนใหญ่ที่ใช้ Java ใช้ log4j2 สำหรับการบันทึก ดังนั้นแอปพลิเคชันและระบบจำนวนมากในสภาพแวดล้อมของคุณอาจได้รับผลกระทบ มีรายงานหลายฉบับเกี่ยวกับการใช้ช่องโหว่นี้จำนวนมากในธรรมชาติ เช่นเดียวกับจำนวนช่องโหว่ที่เพิ่มขึ้นอย่างรวดเร็ว มากกว่า 60 รายการปรากฏขึ้นภายใน 24 ชั่วโมงหลังการเปิดเผยครั้งแรกของช่องโหว่
Silverfort ได้ตรวจสอบรหัสและไม่พบการใช้งาน log4j2 ที่มีช่องโหว่โดยผลิตภัณฑ์
ตามที่ CloudFlareช่องโหว่ดังกล่าวกำลังถูกโจมตีจากภายนอกแล้ว และผู้โจมตีมักจะใช้ช่องชื่อผู้ใช้เพื่อใช้ประโยชน์จากช่องโหว่นี้ เรื่องนี้สมเหตุสมผลเพราะช่องชื่อผู้ใช้มักถูกบันทึกไว้ว่าไม่สำเร็จ การรับรอง การร้องขอ
Silverfort ตรวจสอบคำขอการตรวจสอบสิทธิ์ทั้งหมดในสภาพแวดล้อมและสามารถใช้เพื่อตรวจสอบการหาประโยชน์จาก Log4Shell เหล่านี้ได้โดยการรายงานเกี่ยวกับการใช้สตริง “${jndi:” ในคำขอการตรวจสอบสิทธิ์ ขอแนะนำให้ทีมรักษาความปลอดภัยอัปเดตซอฟต์แวร์โดยเร็วที่สุดเท่าที่จะเป็นไปได้ รวมทั้งตรวจสอบว่าเซิร์ฟเวอร์ที่มีช่องโหว่อาจถูกบุกรุกก่อนที่จะมีแพตช์หรือไม่
คำถาม? เราอยู่เสมอ โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม สำหรับคุณ. ทดสอบ
