Er is exploitcode vrijgegeven voor een ernstige kwetsbaarheid bij het uitvoeren van code in Log4j, een open source-hulpprogramma voor logboekregistratie dat wordt gebruikt in talloze apps, waaronder apps die worden gebruikt door grote zakelijke organisaties, meldden verschillende websites afgelopen donderdag.
Het nieuws over de kwetsbaarheid kwam voor het eerst aan het licht op sites die gericht zijn op gebruikers van Minecraft, het best verkochte spel aller tijden. De sites waarschuwden dat hackers kwaadaardige code zouden kunnen uitvoeren op servers of clients met de Java-versie van Minecraft door logberichten te manipuleren, ook van dingen die in chatberichten zijn getypt. Het beeld werd nog erger als Log4j werd geïdentificeerd als de bron van het beveiligingslek en er werd exploitcode ontdekt die online was geplaatst.
een groot probleem
“De Minecraft kant lijkt een perfecte storm, maar ik vermoed dat we de getroffen applicaties en apparaten nog lang zullen blijven identificeren”, zegt HD Moore, oprichter en CTO van netwerkontdekkingsplatform Rumble. “Dit is een groot probleem voor omgevingen die zijn gekoppeld aan oudere Java-runtimes: webfront-ends voor verschillende netwerkapparatuur, oudere applicatieomgevingen die legacy API’s gebruiken, en Minecraft servers, vanwege hun afhankelijkheid van oudere versies voor mod-compatibiliteit.”
Er duiken al rapporten op van servers die presteren Internetbrede scans in pogingen om kwetsbare servers te lokaliseren.
@GreyNoise ziet momenteel 2 unieke IP’s het internet scannen op de nieuwe Apache Log4j RCE-kwetsbaarheid (nog geen CVE toegewezen).
Een tag om deze activiteit op te volgen https://t.co/QckU3An40q zal binnenkort beschikbaar worden gesteld en als antwoord worden gelinkt wanneer deze wordt vrijgegeven.— remy🐀 (@_mattata) 10 december 2021
Log4j is opgenomen in een groot aantal populaire frameworks, waaronder Apache Struts2, Apache Solr, Apache Druid en Apache Flink. Dat betekent dat een duizelingwekkend aantal apps van derden ook kwetsbaar kan zijn voor exploits van dezelfde hoge ernst als die welke Minecraft gebruikers.
Op het moment dat dit bericht live ging, was er nog niet veel bekend over de kwetsbaarheid. Een van de weinige vroege bronnen die een trackingnummer voor de kwetsbaarheid verstrekten, was Github, die zei dat het CVE-2021-44228. Beveiligingsbedrijf Cyber Kendra meldde eind donderdag een Log4j RCE Nul dag op het internet werd gedropt en was het met Moore eens dat “er momenteel veel populaire systemen op de markt zijn die worden beïnvloed.”
De Apache Foundation heeft de kwetsbaarheid nog niet bekend gemaakt en vertegenwoordigers daar hebben niet op een e-mail gereageerd. Deze Apache-pagina erkent de recente vaststelling van een ernstige kwetsbaarheid. Moore en andere onderzoekers zeiden dat de Java-deserialisatie-bug voortkomt uit Log4j die netwerkverzoeken doet via de JNDI aan een LDAP server en het uitvoeren van elke code die wordt geretourneerd. De bug wordt geactiveerd in logberichten met gebruik van de ${}-syntaxis.
Aanvullende rapportage van beveiligingsbedrijf LunaSec zei dat Java-versies groter dan 6u211, 7u201, 8u191 en 11.0.1 minder worden beïnvloed door deze aanvalsvector, althans in theorie, omdat de JNDI geen externe code kan laden met LDAP. Hackers kunnen dit mogelijk nog steeds omzeilen door gebruik te maken van klassen die al aanwezig zijn in de doeltoepassing. Het succes zou afhangen van de vraag of er gevaarlijke gadgets in het proces zijn, wat betekent dat nieuwere versies van Java nog steeds code-uitvoering kunnen voorkomen, maar alleen afhankelijk van de specifieke kenmerken van elke toepassing.
LunaSec ging verder met te zeggen dat cloudservices van Steam en Apple iCloud ook hebben: is gevonden getroffen te worden. Bedrijfsonderzoekers wezen er ook op dat een andere zeer ernstige kwetsbaarheid in stuts leidde tot het compromis van Equifax in 2017, dat gevoelige details vrijgaf voor meer dan 143 miljoen Amerikaanse consumenten.
Cyber Kendra zei dat het Alibaba Cloud-beveiligingsteam in november een kwetsbaarheid in Log4j2 – de opvolger van Log4j – onthulde die voortkwam uit recursieve analysefuncties, die aanvallers konden misbruiken door kwaadaardige verzoeken te construeren die de uitvoering van externe code activeerden. Het bedrijf drong er sterk bij mensen op aan om de nieuwste versie van Log4j2 te gebruiken beschikbaar Hier.
Waar het voor betekent Minecraft
Het Spigot-gamingforum zei Dat Minecraft versies 1.8.8 tot en met de meest recente versie 1.18 zijn allemaal kwetsbaar, net als andere populaire gameservers zoals Wynncraft. Gamingserver en nieuwssite Hypixel, ondertussen, aangedrongen Minecraft spelers extra op te letten.
“Het probleem kan toestaan externe toegang tot uw computer via de servers waarop u zich aanmeldt‘, schreven sitevertegenwoordigers. “Dat betekent dat elke openbare server die u bezoekt een risico vormt om gehackt te worden.”
Het reproduceren van exploits voor dit beveiligingslek in Minecraft zijn niet eenvoudig omdat succes niet alleen afhangt van de Minecraft versie draait, maar ook op de versie van het Java-framework de Minecraft app draait bovenop. Het lijkt erop dat oudere Java-versies minder ingebouwde beveiligingsmaatregelen hebben die exploits gemakkelijker maken.
Op vrijdag, Minecraft uitgerold een nieuwe spelversie die de kwetsbaarheid verhelpt.
“We zijn op de hoogte van recente discussies over een openbare exploitatie van een Log4j-beveiligingslek voor de uitvoering van externe code die verschillende industriebrede Apache-producten treft”, aldus Microsoft in een verklaring. “We hebben stappen ondernomen om onze klanten veilig en beschermd te houden, waaronder het uitrollen van een fix die dit probleem blokkeert voor Java Edition 1.18.1. Klanten die de fix toepassen, zijn beschermd.”
Voor degenen die de fix niet meteen kunnen installeren, hebben Spigot en andere bronnen gezegd dat het toevoegen van de JVM-vlag -Dlog4j2.formatMsgNoLookups=true
neutraliseert de dreiging voor de meeste Java-versies. Spigot en vele andere diensten hebben de vlag al ingevoegd in de games die ze beschikbaar stellen aan gebruikers.
Om de vlag toe te voegen, moeten gebruikers naar hun opstartprogramma gaan, het tabblad Installaties openen, de installatie die in gebruik is selecteren en klikken op “…” > “Bewerken” > “MEER OPTIES”, en plakken -Dlog4j2.formatMsgNoLookups=true
aan het einde van de JVM-vlaggen.
Voorlopig moeten mensen goed letten op deze kwetsbaarheid en het potentieel om krachtige aanvallen uit te lokken tegen een breed scala aan apps en services. Voor Minecraft gebruikers, dat betekent wegblijven van onbekende servers of onbetrouwbare gebruikers. Voor gebruikers van open source software betekent dit controleren of het voor loggen afhankelijk is van Log4j of Log4j2. Dit is een brekend verhaal. Updates zullen volgen als er meer informatie beschikbaar komt.