maandag 6 februari 2023

Log4j vulnernability CVE-2021-44228

Conclusion Xforce heeft Nagios Enterprises Inc. verzocht een officieel statement te publiceren over de Log4j CVE-2021-44228 kwetsbaarheid in de producten:

  •  Nagios XI    
  • Nagios Log Server
  •  Nagios Network Analyzer 
  •  Nagios Fusion 

Dit statement is te lezen op https://www.nagios.com/news/2021/12/update-on-apache-log4j-vulnerability/

Algemene security informatie van alle Nagios producten zijn hier te vinden: https://www.nagios.com/products/security/

 

Algemene informatie m.b.t. de Log4j kwetsbaarheid
(met dank aan de collega's van Amis)

Q:      Wat houdt de kwetsbaarheid in?
A:      Dynamische evaluatie in Log4J2 van expressies in log statements zoals $.{jndi:ldap:….}

Sinds Log4J2 2.10 kan een JNDI expressie worden geëvalueerd    
Bijvoorbeeld: InitialContext.lookup(String name)
Deze evaluatie resulteert in een Java Object – dat in potentie van een remote source wordt verkregen (RMI, LDPA, CORBA, DNS …)

Als er een waarde wordt gelogd met log4j die door een gebruiker is bepaald – zoals een http header of de inhoud van een veld in een formulier en die waarde bevat een {jndi:ldap: expressie} dan wordt door de dynamische evaluatie in potentie door de gebruiker bepaalde Java code uitgevoerd.

Q:    Potentiële consequenties
A:    Als een expressie (van een kwaadwillende gebruiker verkregen) door systemen wordt doorgegeven kan de evaluatie plaatsvinden op interne, niet met internet verbonden systemen, en kan daar geïnjecteerde code worden uitgevoerd.