Новости компании

Как противодействовать критической уязвимости CVE-2021-44228 в библиотеке Apache Log4j

21.12.2021

ЦЗИ «Конфидент» рассказал, как противодействовать новой критической уязвимости с максимальным уровнем опасности, которая есть почти во всех продуктах Apache Software.


Уязвимость_Жюль_Гадон.jpg

Что такое CVE-2021-44228 (Log4Shell и LogJam)

На прошлой неделе стало известно о новой критической уязвимости в библиотеке Apache Log4j, получившей номер CVE-2021-44228. Её также называют Log4Shell и LogJam. Это угроза удаленного выполнения кода (Remote Code Execution), которой присвоили максимальный уровень опасности по шкале CVSS — 10 из 10.


Как работает уязвимость

При эксплуатации уязвимости на сервере появляется возможность выполнить произвольный код и потенциально получить полный контроль над системой.

Уязвимость вынуждает приложения и серверы на основе Java, где используется библиотека Log4j, журналировать определенную строку в своих внутренних системах. Когда приложение или сервер обрабатывают такие логи, строка может заставить уязвимую систему загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником.


Кому угрожает новая уязвимость

Проблема была обнаружена во время поиска багов на серверах Minecraft, но Log4j присутствует практически в любых корпоративных приложениях и Java-серверах. Эту библиотеку можно найти почти во всех корпоративных продуктах, выпущенных Apache Software Foundation, включая:

  • Apache Struts;
  • Apache Flink;
  • Apache Druid;
  • Apache Flume;
  • Apache Solr;
  • Apache Flink;
  • Apache Kafka;
  • Apache Dubbo и многие другие.

В результате компании, использующие любой из этих продуктов, тоже потенциально уязвимы, но могут даже не знать об этом. Специалисты сообщают, что перед Log4Shell могут быть уязвимы решения таких корпораций, как Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase и, вероятно, тысячи других компаний.


Рекомендации к противодействию от ЦЗИ «Конфидент»

  • по возможности установите самую последнюю версию библиотеки. Её можно скачать на странице проекта. Если библиотека используется в стороннем продукте, проверьте обновления от поставщика программного обеспечения;
  • ознакомьтесь с рекомендациями Apache Log4j project;
  • для снижения риска обновите сигнатуры Системы обнаружения и предотвращения вторжений (СОВ) Dallas Lock.


СОВ Dallas Lock vs CVE-2021-44228

«Конфидент» уже добавил новые сигнатуры, которые защитят обладателей СОВ Dallas Lock от новой уязвимости CVE-2021-44228 (Log4Shell и LogJam). Об этом мы написали в разделе с часто задаваемыми вопросами — FAQ.

Напомним, что СОВ Dallas Lock — это сертифицированная гибридная система обнаружения и предотвращения вторжений уровня узла в программном исполнении, которая является модулем СЗИ Dallas Lock 8.0.

Подробнее о модуле СОВ в составе Dallas Lock 8.0 редакции К можно почитать здесь. В составе Dallas Lock 8.0 редакции С — здесь.

Если вы уже наш пользователь, подробную информацию по всему набору сигнатур СОВ Dallas Lock можно получить по идентификационному номеру уязвимости, который находится во вкладке:

СОВ ⇒ Сигнатуры ⇒ Сигнатуры трафика ⇒ Информация об уязвимости