Log4Shell (Log4j)

O que é?

Vulnerabilidade numa biblioteca de logging amplamente presente no ecossistema Java.

Vulnerabilidade

Atualmente possui 4 CVEs vinculadas ao mesmo em 2021, são elas:

• CVE-2021-44228
• CVE-2021-45046
• CVE-2021-45105
• CVE-2021-44832

Sendo que a primeira (CVE-2021-44228) é uma CVE de nível crítico e as outras são “extensões” em torno dela que variam no nível de criticidade.

Funcionamento

Como o exploit base funciona:

Imagem retirada do site da https://www.lunasec.io/

Mitigação

Existem atualmente 4 metodos para mitigar a CVE mais critica (CVE-2021-44228):

1. Upgrade do Log4j para o 2.17.1 (resolve todas as CVEs até o momento)
2. Habilitar a opção log4j2.formatMsgNoLookups=true (Config na JVM ou variável de ambiente)
3. JNDI Hotpatch (exemplo AWS)
4. Remoção da classe (jar) afetada

Sendo que dessas, a mais indicada é o upgrade, afim de eliminar a chance de ser atacado.

Referências

• Log4j Security
• Lunasec Log4j 0 day
• Lunasec Newest Vulnerability in Log4j 2.17.0 more hype than substance
• AWS Hotpatch for Apache Log4j