Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 14 december 2021 | Ämne: Säkerhet
En andra sårbarhet som involverade Apache Log4j hittades på tisdagen efter att cybersäkerhetsexperter tillbringade dagar med att försöka korrigera eller mildra CVE-2021-44228.
Beskrivningen av den nya sårbarheten, CVE 2021-45046, säger att korrigeringen för adressen CVE-2021-44228 i Apache Log4j 2.15.0 var “ofullständig i vissa icke-standardkonfigurationer.”
“Detta kan tillåta angripare… att skapa skadlig indata med hjälp av ett JNDI Lookup-mönster som resulterar i en överbelastningsattack (DOS)”, står det i CVE-beskrivningen.
Apache har redan släppt en patch, Log4j 2.16.0, för detta problem. CVE säger att Log4j 2.16.0 löser problemet genom att ta bort stöd för meddelandesökningsmönster och inaktivera JNDI-funktionalitet som standard. Den noterar att problemet kan mildras i tidigare versioner genom att ta bort klassen JndiLookup från klasssökvägen.
John Bambenek, huvudhotsjägare på Netenrich, sa till ZDNet att lösningen är att inaktivera JNDI-funktionaliteten helt (vilket är standardbeteendet i den senaste versionen).
“Minst ett dussin grupper använder dessa sårbarheter så omedelbara åtgärder bör vidtas för att antingen patcha, ta bort JNDI eller ta bort det från klassvägen (helst alla ovanstående),” sa Bambenek.
Det ursprungliga felet i Log4j, ett Java-bibliotek för att logga felmeddelanden i applikationer, har dominerat rubrikerna sedan förra veckan. Exploateringen startade den 1 december, enligt Cloudflare, och en första varning från CERT New Zealand väckte andra av CISA och Storbritanniens National Cyber Security Centre.
Det holländska nationella cybersäkerhetscentret släppte en lång lista över programvara som påverkas av sårbarheten.
Det internationella säkerhetsföretaget ESET släppte en karta som visar var Log4j-exploateringsförsök har gjorts, med den största volymen i USA, Storbritannien, Turkiet, Tyskland och Nederländerna.
ESET
“Mängden av våra upptäckter bekräftar att det är ett storskaligt problem som inte kommer att försvinna någon gång snart,” Roman Kováč, Chief Research Officer på ESET, sa.
Många företag upplever redan attacker som utnyttjar sårbarheten; säkerhetsplattformen Armis berättade för ZDNet att den upptäckte log4shell-attackförsök hos över en tredjedel av sina klienter (35%). Angripare riktar sig mot fysiska servrar, virtuella servrar, IP-kameror, tillverkningsenheter och närvarosystem.
Säkerhet
Log4j zero-day-fel: Vad du behöver veta och hur man skydda dig själv Alla är utbrända. Det håller på att bli en säkerhetsmardröm De bästa VPN:erna för små och hembaserade företag 2021. Chefer är ovilliga att spendera pengar på cybersäkerhet. Då blir de hackade Hit av ransomware? Gör inte detta första uppenbara misstag Security TV | Datahantering | CXO | Datacenter