Уязвимости в Log4j. Что делать? Рекомендации ESET
News | 16.12.2021
ESET обнаружила сотни тысяч попыток использования уязвимости в Log4j.
Количество попыток подтверждает, что эта масштабная проблема не исчезнет в ближайшее время. Конечно, злоумышленники тестируют многие варианты эксплойтов, но не все попытки обязательно злонамерены. Некоторые могут быть безопасными, учитывая, что исследователи и компании с информационной безопасности также тестируют эксплойты на практике в целях защиты.
Чем вызвана ситуация?
i Log4j — это библиотека журналов на основе Java с открытым исходным кодом, которая широко используется во многих популярных приложениях и сервисах, например, Apple, Twitter, Amazon, Google, LinkedIn.
В конце ноября 2021 года в этой библиотеке была обнаружена уязвимость Log4Shell, которая позволяет злоумышленнику запускать произвольный код на определенном сервере. При этом для запуска кода, который может привести к полному контролю над системами и кражи конфиденциальных данных, киберпреступнику не нужен даже физический доступ к ним.
Уже 01 декабря 2021 был зафиксирован первый известный эксплойт для уязвимости Log4Shell. Исправление для Log4Shell было выпущено 10 декабря 2021 года.
В связи с доступностью в Интернете кода эксплойта хакеры активно сканируют и используют уязвимые системы. С другой стороны, специалисты по информационной безопасности обновляют системы и минимизируют потенциальные риски, а разработчики проверяют программы и библиотеки кода на наличие уязвимых версий Log4j.
Для защиты от эксплойтов важно найти все уязвимые версии библиотеки Log4j. Начните с создания приоритетного списка систем для поиска и оценивайте все в порядке важности.
Ниже представлено несколько рекомендаций ESET, которые помогут в этом процессе.
- Выявите Log4Shell в ваших системах (для Linux и Windows).
Этот скрипт, доступный на GitHub, ищет проблемный файл JndiLookup.class в любом архиве .jar. - Выявите попытки использования уязвимости Log4Shell в ваших журналах (для Linux).
Скрипт, также доступный по ссылке GitHub выше, ищет случаи использования Log4Shell в несжатых файлах в каталоге журналов Linux /var/log и всех его подкаталогах. - Зафиксируйте результаты.
После запуска любых скриптов или инструментов обнаружения обязательно запишите результаты для создания полной документации аудита всех ваших систем. Аудит должен указать, была ли найдена Log4Shell и обнаружены в журналах попытки ее использования. - Используйте последнюю версию Log4j.
Уязвимыми версиями Log4j 2 являются все версии с ядром log4j от 2.0-beta9 до 2.15.0. Таким образом, стоит обновить библиотеку до версии 2.16.0, которая является актуальной. Обратите внимание, что библиотеку не следует путать с log4j-api, на которую Log4Shell не влияет. - Блокируйте подозрительные IP-адреса.
И, наконец, подозрительные IP-адреса можно заблокировать с помощью брандмауэра или системы предотвращения вторжений.
Продукты ESET обнаруживают эксплойты (JAVA/Exploit.CVE-2021-44228, JAVA/Exploit.CVE-2021-44228.B) с использованием Log4Shell. Таким образом, попытки злоумышленников, пытающихся проникнуть в систему, будут заблокированы.