News

Уразливості в Log4j. Декілька рекомендацій ESET, які допоможуть знайти всі уразливі версії

News | 15.12.2021

ESET виявила сотні тисяч спроб використання уразливості в Log4j.

Кількість спроб підтверджує, що ця масштабна проблема не зникне найближчим часом. Звичайно, зловмисники тестують багато варіантів експлойтів, але не всі спроби обов’язково є зловмисними. Деякі можуть бути безпечними, враховуючи, що дослідники та компанії з інформаційної безпеки також тестують експлойти на практиці в цілях захисту.

Роман Ковач, директор з досліджень компанії ESET

Чим спричинено ситуацію?

i Log4j — це бібліотека журналів на основі Java з відкритим вихідним кодом, яка широко використовується у багатьох популярних додатках і сервісах, наприклад, Apple, Twitter, Amazon, Google, LinkedIn.

На прикінці листопада 2021 року в цій бібліотеці було виявлено уразливість Log4Shell, яка дозволяє зловмиснику запускати довільний код на певному сервері. При цьому для запуску коду, що може призвести до повного контролю над системами та крадіжки конфіденційних даних, кіберзлочинцю не потрібен навіть фізичний доступ до них.

Вже 01 грудня 2021 року було зафіксовано перший відомий експлойт для уразливості Log4Shell. Виправлення для Log4Shell було випущено 10 грудня 2021.

Завдяки доступності в Інтернеті коду експлойту хакери активно сканують та використовують уразливі системи. З іншого боку спеціалісти з інформаційної безпеки оновлюють системи та мінімізують потенційні ризики, а розробники перевіряють програми та бібліотеки коду на наявність уразливих версій Log4j.

Для захисту від експлойтів важливо знайти всі уразливі версії бібліотеки Log4j. Почніть зі створення пріоритетного списку систем для пошуку та оцінюйте їх всі в порядку важливості.

Нижче наведено декілька рекомендацій ESET, які допоможуть у цьому процесі.

  1. Виявіть Log4Shell у ваших системах (для Linux і Windows)
    Цей скрипт, доступний на GitHub, шукає проблемний файл JndiLookup.class у будь-якому архіві .jar.
  2. Виявіть спроби використання уразливості Log4Shell у ваших журналах (для Linux)
    Скрипт, який також доступний за посиланням GitHub вище, шукає випадки використання Log4Shell в нестиснених файлах у каталозі журналів Linux /var/log та всіх його підкаталогах.
  3. Зафіксуйте результати
    Після запуску будь-яких скриптів або інструментів виявлення обов’язково запишіть результати, щоб створити повну документацію аудиту всіх ваших систем. Аудит має вказати, чи було знайдено Log4Shell та виявлено в журналах спроби її використання.
  4. Використовуйте останню версію Log4j
    Уразливими версіями Log4j 2 є всі версії з ядром log4j від 2.0-beta9 до 2.15.0. Таким чином, варто оновити бібліотеку до версії 2.16.0, яка є наразі актуальною. Зауважте, що цю бібліотеку не слід плутати з log4j-api, на яку Log4Shell не впливає.
  5. Блокуйте підозрілі IP-адреси
    Зрештою, підозрілі IP-адреси можна заблокувати за допомогою брандмауера або системи запобігання вторгненням.

Продукти ESET виявляють експлойти (JAVA/Exploit.CVE-2021-44228, JAVA/Exploit.CVE-2021-44228.B) з використанням Log4Shell. Таким чином, спроби зловмисників, які намагаються проникнути в систему, будуть заблоковані.