Beveiligingsonderzoekers melden opnieuw een kwetsbaarheid te hebben gevonden in Java-feature log4j, die het mogelijk maakt om op afstand code uit te voeren. Volgens de onderzoekers doet de nieuwe kwetsbaarheid de update tegen de Log4Shell-kwetsbaarheid deels teniet.

In een blogpost schrijven onderzoekers van LunaSec dat het niet betekent dat updaten van log4j helemaal geen zin heeft, maar dat er een kans is dat gebruikers nog steeds kwetsbaar zijn voor Log4Shell, ook als hun systemen versie 2.15.0 hebben geïnstalleerd. In de omschrijving van de nieuwe kwetsbaarheid, CVE-2021-45046, staat dat update 2.15.0 niet volledig beschermt, waardoor denial of service-aanvallen alsnog mogelijk zijn. Daarom is er vrij snel na 2.15.0 nu ook 2.16.0 van log4j uitgebracht.

De onderzoekers schrijven dat naast een DOS-aanval, ook remote code execution mogelijk is. Het is volgens hen wat lastig te begrijpen, maar het komt er op neer dat de fix die Log4Shell moet fixen niet goed werkt in bepaalde niet-standaardconfiguraties van log4j, waardoor aanvallers alsnog toegang kunnen krijgen tot de systemen. De tijdelijke mitigaties die moeten beschermen tegen Log4Shell in versies 2.7.0 tot 2.14.1 van log4j beschermen ook niet tegen deze kwetsbaarheid, zeggen zij.

In tests die de onderzoekers uitgevoerd hebben, blijkt dat de instelling %m{nolookups} niet beschermt tegen Log4Shell en dat remote code execution nog steeds mogelijk is als de noMsgFormatLookups-flag ingesteld is. Volgens de onderzoekers kan logica om JNDI-lookups uit te schakelen worden omzeild via deze instellingen, wat het systeem kwetsbaar maakt. De onderzoekers raden aan om zo snel mogelijk te updaten naar versie 2.16.0, omdat deze de message lookup patterns uitschakelt en standaard JNDI-functionaliteit uitzet.

Bron: Tweakers.net