Критическая уязвимость в Log4j

Любое устройство, подключенное к Интернету, подвержено уязвимости Log4Shell, если на нем работает Apache Log4J версий от 2.0 до 2.14.1. NCSC отмечает, что уязвимая версия Log4j версии 2 (Log4j2) включена в структуры Apache Struts2, Solr, Druid, Flink и Swift.  Уязвимость 9 декабря обнаружил инженер по кибербезопасности, который называет себя в сети p0rz9.

Log4Shell получила максимальную оценку в 10 баллов, т.к. её можно использовать удаленно, а для выполнения кода не нужны особые технические навыки. Эксперты по безопасности предупреждают, что хакеры предпринимают сотни тысяч попыток найти уязвимые устройства. По данным Check Point, порядка 40% корпоративных сетей по всему миру уже были атакованы злоумышленниками в попытке использовать эту уязвимость.

Уязвимость позволяет использовать неправильную проверку ввода LDAP, что дает возможность удаленного выполнения кода (RCE) и компрометацию сервера (конфиденциальность, целостность данных и доступность системы). Важность этой уязвимости в количестве приложений и серверов, которые ее используют. Например, программное обеспечение для бизнеса и облачные сервисы, такие как Apple iCloud, Steam или популярные видеоигры - Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash и многие другие.

Главный совет CISA (Агентство по кибербезопасности и безопасности инфраструктуры) - определить подключенные к интернету устройства, на которых работает Log4j и обновить их до версии 2.15.0 или «немедленно» применить меры для снижения рисков. Рекомендуется настроить оповещения на устройствах, где работает Log4j.  Также  CISA рекомендуют определить все устройства с Log4j и установить межсетевой экран с правилами направленными на Log4j. 

Apache Foundation быстро исправила уязвимость, выпустив патч. Важно обновить Log4j до версии 2.15.0 или использовать новое исправление Logout4Shell сейчас, если у вас есть сервер или система, где используется Log4j. Патчи уже добавили Amazon, Apple, IBM, Microsoft и Cisco.

Log4J - это широко используемая библиотека Java для регистрации сообщений об ошибках в приложениях. Используется в корпоративных программных приложениях, в том числе в пользовательских приложениях, разрабатываемых внутри компании. Является частью многих служб облачных вычислений, включена в такие инфраструктуры Apache, как Apache Struts2, Apache Solr, Apache Druid, Apache Flink и Apache Swift.