News

Уязвимости в Log4j. Что делать? Рекомендации ESET

News | 16.12.2021

ESET обнаружила сотни тысяч попыток использования уязвимости в Log4j.

Количество попыток подтверждает, что эта масштабная проблема не исчезнет в ближайшее время. Конечно, злоумышленники тестируют многие варианты эксплойтов, но не все попытки обязательно злонамерены. Некоторые могут быть безопасными, учитывая, что исследователи и компании с информационной безопасности также тестируют эксплойты на практике в целях защиты.

Роман Ковач, директор по исследованиям компании ESET

Чем вызвана ситуация?

i Log4j — это библиотека журналов на основе Java с открытым исходным кодом, которая широко используется во многих популярных приложениях и сервисах, например, Apple, Twitter, Amazon, Google, LinkedIn.

В конце ноября 2021 года в этой библиотеке была обнаружена уязвимость Log4Shell, которая позволяет злоумышленнику запускать произвольный код на определенном сервере. При этом для запуска кода, который может привести к полному контролю над системами и кражи конфиденциальных данных, киберпреступнику не нужен даже физический доступ к ним.

Уже 01 декабря 2021 был зафиксирован первый известный эксплойт для уязвимости Log4Shell. Исправление для Log4Shell было выпущено 10 декабря 2021 года.

В связи с доступностью в Интернете кода эксплойта хакеры активно сканируют и используют уязвимые системы. С другой стороны, специалисты по информационной безопасности обновляют системы и минимизируют потенциальные риски, а разработчики проверяют программы и библиотеки кода на наличие уязвимых версий Log4j.

Для защиты от эксплойтов важно найти все уязвимые версии библиотеки Log4j. Начните с создания приоритетного списка систем для поиска и оценивайте все в порядке важности.

Ниже представлено несколько рекомендаций ESET, которые помогут в этом процессе.

  1. Выявите Log4Shell в ваших системах (для Linux и Windows).
    Этот скрипт, доступный на GitHub, ищет проблемный файл JndiLookup.class в любом архиве .jar.
  2. Выявите попытки использования уязвимости Log4Shell в ваших журналах (для Linux).
    Скрипт, также доступный по ссылке GitHub выше, ищет случаи использования Log4Shell в несжатых файлах в каталоге журналов Linux /var/log и всех его подкаталогах.
  3. Зафиксируйте результаты.
    После запуска любых скриптов или инструментов обнаружения обязательно запишите результаты для создания полной документации аудита всех ваших систем. Аудит должен указать, была ли найдена Log4Shell и обнаружены в журналах попытки ее использования.
  4. Используйте последнюю версию Log4j.
    Уязвимыми версиями Log4j 2 являются все версии с ядром log4j от 2.0-beta9 до 2.15.0. Таким образом, стоит обновить библиотеку до версии 2.16.0, которая является актуальной. Обратите внимание, что библиотеку не следует путать с log4j-api, на которую Log4Shell не влияет.
  5. Блокируйте подозрительные IP-адреса.
    И, наконец, подозрительные IP-адреса можно заблокировать с помощью брандмауэра или системы предотвращения вторжений.

Продукты ESET обнаруживают эксплойты (JAVA/Exploit.CVE-2021-44228, JAVA/Exploit.CVE-2021-44228.B) с использованием Log4Shell. Таким образом, попытки злоумышленников, пытающихся проникнуть в систему, будут заблокированы.