O que é?

Vulnerabilidade numa biblioteca de logging amplamente presente no ecossistema Java.

Vulnerabilidade

Atualmente possui 4 CVEs vinculadas ao mesmo em 2021, são elas:

Sendo que a primeira (CVE-2021-44228) é uma CVE de nível crítico e as outras são "extensões" em torno dela que variam no nível de criticidade.

Funcionamento

Como o exploit base funciona:

Lunasec - CVE-2021-44228

Mitigação

Existem atualmente 4 metodos para mitigar a CVE mais critica (CVE-2021-44228):

  1. Upgrade do Log4j para o 2.17.1 (resolve todas as CVEs até o momento)
  2. Habilitar a opção log4j2.formatMsgNoLookups=true (Config na JVM ou variável de ambiente)
  3. JNDI Hotpatch (exemplo AWS]
  4. Remoção da classe (jar) afetada

Sendo que dessas, a mais indicada é o upgrade, afim de eliminar a chance de ser atacado.

Referências