Security Week 51: две новые уязвимости в log4j
На прошлой неделе к изначальной уязвимости в логгере Apache log4j добавились еще две. Помимо исходной CVE-2021–44228, была обнаружена дыра CVE-2021–45046. По сути, исходный патч в версии log4j 2.15 не учитывал некоторые варианты обработки логов, из-за чего возможность атаки частично сохранялась. Этой проблеме изначально присвоили низкий рейтинг, но потом подняли его до 9 баллов из 10 по шкале CVSS v3, так как были найдены способы запуска произвольного кода. Обнаружение данного бага также дало понять, что рекомендованные ранее временные способы решения проблемы на самом деле не работали.
Уязвимость была закрыта в версии 2.16.0 от 13 декабря, а уже 18 декабря вышел релиз 2.17.0, закрывающий третью уязвимость CVE-2021–45105. Это еще одна проблема с обработкой входящих данных, с помощью которой можно организовать DoS-атаку, отправив в логи сервера «волшебную строку». Частота обновлений в данном случае — скорее позитивный момент, но она явно указывает на то, что ранее код log4j недостаточно исследовался на наличие уязвимостей.
С момента обнаружения исходной уязвимости, которую иногда называют Log4Shell, прошло уже две недели, но понятнее ситуация с атаками на log4j не стала. В Твиттере сперва пишут о появлении «червя», эксплуатирующего уязвимость, то есть вредоносной программы, в распространении которой участвуют все взломанные серверы. Потом выясняется, что этот самый код не работает. Сложнее всего тем, кому надо принимать меры, спасая инфраструктуру собственной компании. Неясен потенциальный ущерб от эксплуатации уязвимости с конкретным софтом на Java. В сети ведутся длинные списки потенциально подверженного атакам ПО, и судя по ним, пострадать можно как напрямую (log4j установлен непосредственно у вас), так и косвенно (уязвимость у вашего хостера, подрядчика и так далее). Только установили заплатку, как сразу же выходит новая версия, закрывающая другую дыру. Независимо от последствий — ситуация нездоровая.
К сожалению, это далеко не первый случай «хаоса с заплатками», причем даже в этом году. Можно вспомнить историю этого лета с многочисленными уязвимостями в системе печати Windows, получившими название PrintNightmare. Дыр было обнаружено сразу несколько, закрывались они несколькими последовательными патчами, иногда ломая поддержку определенного железа. Уязвимости закрывались не до конца, и приходилось выпускать патчи для патчей. Общее между log4j и PrintNightmare: повсеместное использование и возможность получить высокие привилегии в системе в случае взлома. В результате пошли разговоры о том, что теперь уязвимости в log4j будут искать (и, вероятно, находить) в течение многих лет.
Что еще произошло:
Команда Google Project Zero опубликовала исследование zero-click уязвимости в iOS, которая использовалась в эксплойте компании NSO Group.
Специалисты «Лаборатории Касперского» исследуют вредоносный модуль, использующийся для кражи паролей сотрудников, если они подключаются к корпоративной веб-почте на базе Outlook Web Access. Он же после успешного взлома сервера используется для удаленного управления.
«Приятная ошибка» в коде, которая вообще не приводит ни к каким последствиям. Исследователь Дэвид Бьюканан нашел «состояние гонки» при отображении PNG-файлов в браузере Safari. Ошибка приводит к бесконечным попыткам перерисовать части изображения. Демо — в твите выше, а попробовать самому можно на этой странице.
Обновление Google Chrome прошлой недели закрыло уязвимость нулевого дня, использовавшуюся в таргетированных атаках.