Kritis ‘Log4Shell’ RCE zero-day dieksploitasi dalam jumlah besar – Keamanan – Perangkat Lunak
Technology

Kritis ‘Log4Shell’ RCE zero-day dieksploitasi dalam jumlah besar – Keamanan – Perangkat Lunak

Eksploitasi yang mudah digunakan yang dapat digunakan untuk eksekusi kode jarak jauh dan untuk mendapatkan kontrol penuh atas jutaan sistem perusahaan yang rentan melalui perpustakaan logging Java saat ini sedang disalahgunakan dalam jumlah besar, para peneliti memperingatkan.

Bug terletak pada utilitas logging Struts Log4J open source Apache Foundation, dalam versi 2.14 dan sebelumnya.

Ini disebabkan oleh antarmuka pemrograman aplikasi Java Naming and Directory Interface (JNDI) tidak melindungi terhadap pencarian di titik akhir yang dikendalikan penyerang, termasuk yang menggunakan Protokol Akses Direktur Ringan (LDAP).

Ketika aplikasi yang rentan menulis ke file log, konfigurasi Log4j default berarti perpustakaan mencari server yang, jika penyerang mengontrolnya, dapat diatur untuk mengirim respons berbahaya dari sistem itu.

Responsnya dapat berisi file kelas Java jarak jauh yang disuntikkan ke dalam proses server dan dieksekusi dengan hak istimewa yang sama seperti aplikasi rentan menggunakan pustaka logging.

Bukti konsep diterbitkan di Twitter dan di Github, dan kerentanan dinilai sebagai 10 dari 10 kemungkinan pada sistem penilaian kerentanan umum (CVSS).

Tim tanggap darurat komputer di seluruh dunia sekarang melaporkan eksploitasi bug secara aktif oleh sistem otomatis.

Para peneliti sejauh ini dikonfirmasi bahwa layanan iCloud Apple, platform game Valve Steam, dan game Minecraft populer Microsoft rentan terhadap bug, yang bernama Log4Shell.

Di Minecraft, penguji telah melaporkan bahwa mereka dapat memicu bug dengan menempelkan string exploit ke jendela obrolan.

Apache Foundation telah mengeluarkan log4j versi 2.15.0, yang secara default tidak rentan terhadap Log4Shell.

Administrator dengan versi Log4j yang lebih lama juga dapat menonaktifkan pencarian pesan yang memicu bug eksekusi kode arbitrer.

Chen Zhaojun dari Tim Keamanan Cloud Alibaba dikreditkan karena telah menemukan bug tersebut.


Posted By : pengeluaran hk hari ini 2021