Na czym polega problem?
Exploit CVE-2021-44228 występujący w wersjach log4j 2.0-2.14.1 jest niezmiernie prosty do wykorzystania. Wystarczy, że serwer zaloguje treść przesyłaną przez atakujące w dowolny sposób do aplikacji, na przykład jako wartość zmiennej GET lub POST. Skuteczne wykorzystanie podatności pozwala wykonać kod po stronie serwerowej. Załatano ją w teorii 5 dni temu, ale eksperci ds. cyberbezpieczeństwa informują, że luka jest już wykorzystywana.
Jak uniknąć ataku?
Należy aktualizować Apache Log4j do wersji 2.125. Istnieje alternatywa. Można uruchomić serwer z wartością parametru log4j2.formatMsgNoLookups ustawioną na true albo wykonać aktualizację do log4j-2.15.0-rc1 lub nowszej wersji.
Jeśli używasz serwera wykorzystującego Apache, takiego jak własny serwer Minecraft Java, powinieneś dokonać aktualizacji do nowszej wersji lub załatać starszą wersję, zgodnie z metodą przytoczoną powyżej. W innym razie serwer można przejąć wpisując prostą komendę na czasie.
Ten exploit ma ogromne znaczenie w Minecraft Java Edition. Każdy może wysłać wiadomość na czacie, która wpłynie na graczy i serwer, ponieważ każda wiadomość na czacie jest logowana. Jest to o tyle istotne, że wielu graczy korzysta ze zmodyfikowanych klientów, którzy nie otrzymują automatycznych łatek od Mojang. I tak, Mojang wydał już łatkę zabezpieczającą klienta gry po stronie użytkownika.
there’s a minecraft client & server exploit open right now which abuses a vulerability in log4j versions 2.0 – 2.14.1, there are proofs of concept going around already.
— (@twokilohertz) December 9, 2021
Źródło: lunasec.io