Система управления уязвимостями MaxPatrol VM, система глубокого анализа трафика PT Network Attack Discovery и межсетевой экран уровня веб-приложений PT Application Firewall выявляют критически опасную уязвимость нулевого дня в популярной библиотеке журналов Apache Log4j, которую используют миллионы приложений и сервисов на основе Java, корпоративное программное обеспечение и облачные серверы, а также компьютерные игры. С 10 декабря 2021 года злоумышленники активно сканируют сеть в поисках уязвимых систем и атакуют ханипоты.
В одном из самых популярных в мире фреймворков для сбора журналов — библиотеке Log4j разработчика Apache Software Foundation — обнаружена уязвимость нулевого дня. Ей подвержены все версии библиотеки с 2.0-beta9 до 2.14.1. Уязвимость, получившая название Log4Shell, позволяет атакующим удаленно выполнить произвольный код без аутентификации и захватить полный контроль над уязвимыми серверами.
CVE-2021-44228 присвоен максимальный уровень опасности по шкале CVSS 3.0 — 10 баллов. Log4Shell отличает простота эксплуатации: операция по отправке в журнал одной строки кода через приложение не требует от злоумышленников особых технических навыков.
Библиотека Log4j входит в состав большинства сетевых продуктов Apache, а также используется в миллионах корпоративных приложений и веб-сервисов, разработанных на языке Java, для регистрации сообщений об ошибках. По последним данным, уязвимости подвержены облачные серверы Amazon, Apple, Baidu, Cloudflare, DiDi, Google, JD.com, Microsoft, Minecraft, NetEase, Steam, Tencent, Tesla, Twitter, VMware, а также решения тысячи других производителей ПО. Помимо этого, фреймворк активно применяют в различных проектах с открытым исходным кодом, включая Elasticsearch, Ghidra и Red Hat.
Начиная с 10 декабря 2021 года фиксируются попытки массового сканирования сети на предмет уязвимых для Log4Shell систем. Риск ее эксплуатации существенно вырос после того, как на портале GitHub был опубликован первый PoC-эксплойт. По словам экспертов Positive Technologies, в реальных атаках эта уязвимость в Apache Log4j может эксплуатироваться множеством способов, в зависимости от конкретного сервиса. В итоге под угрозой сейчас крупные организации по всему миру, сайты правительств, а также большая часть интернета.
Обнаружить киберугрозу помогут продукты Positive Technologies: три из них выявляют уязвимость Log4Shell «из коробки», то есть нынешним пользователям ничего дополнительно загружать не нужно. В частности, если база знаний MaxPatrol VM содержит обновления от 10 декабря 2021 года, уязвимые активы будут выявлены автоматически.
Межсетевой экран уровня веб-приложений PT Application Firewall (версия 3.0) обнаруживает попытку эксплуатации новой уязвимости как SSTI (внедрение вредоносного кода в шаблон на стороне сервера) и впоследствии блокирует ее, а версия 4.0 дополнительно определяет ее как попытку JNDI-инъекции.
Эксплуатацию Log4Shell также можно обнаружить с помощью PT NAD во время анализа сетевого трафика. Для этого специалисты экспертного центра безопасности Positive Technologies добавили в продукт специальное правило детектирования.
Кроме того, в случае если уязвимость была успешно проэксплуатирована злоумышленниками, система выявления инцидентов MaxPatrol SIEM поможет обнаружить дальнейшие действия атакующих, например запуск реверс-шелла, а также их попытки закрепиться или повысить привилегии в системе.
Специалисты PT ESC рекомендуют компаниям, использующим уязвимые сервисы, проверить свою инфраструктуру на предмет аномальной активности и незамедлительно обновить библиотеку Java Apache Log4j 2 до версии 2.15.0-rc2 или выше. Если установка обновлений безопасности невозможна, необходимо установить (и проверить при запуске) значение true для параметра виртуальной машины Java log4j2.formatMsgNoLookups.