O que é?
Vulnerabilidade numa biblioteca de logging amplamente presente no ecossistema Java.
Vulnerabilidade
Atualmente possui 4 CVEs vinculadas ao mesmo em 2021, são elas:
Sendo que a primeira (CVE-2021-44228
) é uma CVE de nível crítico e as outras são "extensões" em torno dela que variam no nível de criticidade.
Funcionamento
Como o exploit base funciona:
Imagem retirada do site da https://www.lunasec.io/
Mitigação
Existem atualmente 4 metodos para mitigar a CVE mais critica (CVE-2021-44228
):
- Upgrade do Log4j para o 2.17.1 (resolve todas as CVEs até o momento)
- Habilitar a opção
log4j2.formatMsgNoLookups=true
(Config na JVM ou variável de ambiente) - JNDI Hotpatch (exemplo AWS)
- Remoção da classe (jar) afetada
Sendo que dessas, a mais indicada é o upgrade, afim de eliminar a chance de ser atacado.