Η Apache Logging Services αποκάλυψε μια κρίσιμη ευπάθεια ασφαλείας στο Log4j Core που εκθέτει τις εφαρμογές σε πιθανή υποκλοπή δεδομένων καταγραφής.
Το ελάττωμα βρίσκεται στο στοιχείο Socket Appender. Επηρεάζει τις εκδόσεις 2.0-beta9 έως 2.25.2, δημιουργώντας ένα διάνυσμα επίθεσης man-in-the-middle για κακόβουλους ηθοποιούς.
Το Socket Appender στις επηρεαζόμενες εκδόσεις Log4j αποτυγχάνει να επαληθεύσει σωστά το όνομα κεντρικού υπολογιστή TLS των ομότιμων πιστοποιητικών. Ακόμη και όταν οι διαχειριστές ενεργοποιούν ρητά τη δυνατότητα επαλήθευσης μέσω της διαμόρφωσης.
Αυτή η επίβλεψη επιτρέπει στους εισβολείς που είναι τοποθετημένοι μεταξύ ενός πελάτη και ενός δέκτη καταγραφής να παρεμποδίζουν ή να ανακατευθύνουν την ευαίσθητη κυκλοφορία καταγραφής. Η ευπάθεια απαιτεί συγκεκριμένες συνθήκες για εκμετάλλευση.
| CVE ID | Συστατικό | Επηρεασμένες εκδόσεις | Βαθμολογία CVSS | Ζήτημα |
|---|---|---|---|---|
| CVE-2025-68161 | Apache Log4j Core | 2.0-beta9 έως 2.25.2 | 6.3 | Λείπει η επαλήθευση ονόματος κεντρικού υπολογιστή TLS στο προσάρτημα Socket |
Οι εισβολείς πρέπει να παρεμποδίζουν την κυκλοφορία δικτύου μεταξύ του πελάτη και του παραλήπτη καταγραφής ενώ παρουσιάζουν ένα πιστοποιητικό διακομιστή που έχει εκδοθεί από μια αξιόπιστη αρχή πιστοποίησης.
Εάν το Socket Appender εμπιστεύεται αυτό το πιστοποιητικό μέσω του διαμορφωμένου αποθηκευτικού χώρου αξιοπιστίας του, η επίθεση είναι επιτυχής, εκθέτοντας δυνητικά δεδομένα καταγραφής κρίσιμων για την αποστολή.
Τα πλαίσια καταγραφής χειρίζονται ευαίσθητες πληροφορίες βάσει σχεδίασης, συμπεριλαμβανομένων των δραστηριοτήτων χρήστη, των συμβάντων του συστήματος και των δεδομένων συμπεριφοράς εφαρμογών. Τα αρχεία καταγραφής συχνά περιέχουν ευαίσθητες πληροφορίες που πρέπει να προστατεύουν οι οργανισμοί.
Αυτή η ευπάθεια υπονομεύει αυτήν την προστασία επιτρέποντας σε μη εξουσιοδοτημένα τρίτα μέρη να έχουν πρόσβαση σε ροές καταγραφής χωρίς εντοπισμό.
Η Ομάδα Ασφαλείας των Υπηρεσιών Καταγραφής του Apache εκχώρησε σε αυτό το ζήτημα μια βαθμολογία CVSS 4.0 6,3, ταξινομημένη ως ΜΕΣΑΙΑ σοβαρότητα.
Η βαθμολογία αντικατοπτρίζει την πολυπλοκότητα της επίθεσης και τις συγκεκριμένες προϋποθέσεις που απαιτούνται για την επιτυχή εκμετάλλευση.
Ιστορικό για την ασφάλεια Log4j
Ο Apache κυκλοφόρησε την έκδοση 2.25.3 του Log4j Core, η οποία αντιμετωπίζει διεξοδικά αυτό το ζήτημα επαλήθευσης ονόματος κεντρικού υπολογιστή TLS.
Οι οργανισμοί που χρησιμοποιούν εκδόσεις που επηρεάζονται θα πρέπει να δώσουν προτεραιότητα στην άμεση αναβάθμιση για να εξασφαλίσουν την υποδομή καταγραφής τους.
Για συστήματα που δεν μπορούν να αναβαθμιστούν άμεσα, η Apache συνιστά τον προσεκτικό περιορισμό της χρήσης των καταστημάτων εμπιστοσύνης.
Ακολουθώντας τις οδηγίες του NIST SP 800-52 Rev. 2, οι διαχειριστές θα πρέπει να ρυθμίσουν τα καταστήματα αξιόπιστων καταστημάτων ώστε να περιέχουν μόνο τα απαραίτητα πιστοποιητικά CA που απαιτούνται για συγκεκριμένα πεδία επικοινωνίας, όπως ιδιωτικές ή εταιρικές ΑΠ.
Η ομάδα ασφαλείας των υπηρεσιών καταγραφής διατηρεί ένα ολοκληρωμένο πρόγραμμα αποκάλυψης ευπάθειας ασφαλείας.
Ο οργανισμός δίνει προτεραιότητα στην ακρίβεια, την πληρότητα και τη διαθεσιμότητα των πληροφοριών ασφαλείας μέσω του κεντρικού συστήματος παρακολούθησης ευπάθειας και της ευπάθειας Αναφορά αποκάλυψης δημοσιεύτηκε στο logging.apache.org.
Οι οργανισμοί που βασίζονται στο Log4j θα πρέπει να επανεξετάσουν τις τρέχουσες εκδόσεις τους και να εφαρμόσουν τις απαραίτητες ενημερώσεις αμέσως.
Η ομάδα των υπηρεσιών καταγραφής Apache συνεχίζει να παρακολουθεί τις εξαρτήσεις και να αντιμετωπίζει απειλές ασφαλείας που επηρεάζουν τις ευρέως αναπτυγμένες λύσεις καταγραφής που χρησιμοποιούνται σε εταιρικές εφαρμογές παγκοσμίως.
