Компания ESET — лидер в области информационной безопасности — сообщила о сотнях тысяч попыток использования уязвимости в Log4j. Наибольшее количество было зафиксировано в США, Великобритании, Турции, Германии и Нидерландах.
«Количество попыток подтверждает, что эта масштабная проблема не исчезнет в ближайшее время. Конечно, злоумышленники тестируют многие варианты эксплойтов, но не все попытки обязательно злонамерены. Некоторые могут быть безопасными, учитывая, что исследователи и компании с информационной безопасности также тестируют эксплойты на практике в целях защиты», — рассказывает Роман Ковач, директор по исследованиям компании ESET.
Заблокированные попытки использования уязвимости в Log4j по всему миру.
Чем вызвана ситуация?
Стоит отметить, что Log4j – это библиотека журналов на основе Java с открытым исходным кодом, которая широко используется во многих популярных приложениях и сервисах, например, Apple, Twitter, Amazon, Google, LinkedIn.
В конце ноября 2021 года в этой библиотеке была обнаружена уязвимость Log4Shell, которая позволяет злоумышленнику запускать произвольный код на определенном сервере. При этом для запуска кода, который может привести к полному контролю над системами и кражи конфиденциальных данных, киберпреступнику не нужен даже физический доступ к ним.
Уже 01 декабря 2021 был зафиксирован первый известный эксплойт для уязвимости Log4Shell. Исправление для Log4Shell было выпущено 10 декабря 2021 года.
В связи с доступностью в Интернете кода эксплойта хакеры активно сканируют и используют уязвимые системы. С другой стороны, специалисты по информационной безопасности обновляют системы и минимизируют потенциальные риски, а разработчики проверяют программы и библиотеки кода на наличие уязвимых версий Log4j.
Что делать?
Для защиты от эксплойтов важно найти все уязвимые версии библиотеки Log4j. Начните с создания приоритетного списка систем для поиска и оценивайте все в порядке важности. Ниже представлено несколько рекомендаций, которые помогут в этом процессе.
Выявите Log4Shell в ваших системах (для Linux и Windows).
Этот скрипт, доступный на GitHub, ищет проблемный файл JndiLookup.class в любом архиве .jar.
Выявите попытки использования уязвимости Log4Shell в ваших журналах (для Linux).
Скрипт, также доступный по ссылке GitHub выше, ищет случаи использования Log4Shell в несжатых файлах в каталоге журналов Linux /var/log и всех его подкаталогах.
Зафиксируйте результаты.
После запуска любых скриптов или инструментов обнаружения обязательно запишите результаты для создания полной документации аудита всех ваших систем. Аудит должен указать, была ли найдена Log4Shell и обнаружены в журналах попытки ее использования.
Используйте последнюю версию Log4j.
Уязвимыми версиями Log4j 2 являются все версии с ядром log4j от 2.0-beta9 до 2.15.0. Таким образом, стоит обновить библиотеку до версии 2.16.0, которая является актуальной. Обратите внимание, что библиотеку не следует путать с log4j-api, на которую Log4Shell не влияет.
Блокируйте подозрительные IP-адреса.
И, наконец, подозрительные IP-адреса можно заблокировать с помощью брандмауэра или системы предотвращения вторжений.
Следует отметить, что продукты ESET обнаруживают эксплойты (JAVA/Exploit.CVE-2021-44228, JAVA/Exploit.CVE-2021-44228.B) с использованием Log4Shell. Таким образом, попытки злоумышленников, пытающихся проникнуть в систему, будут заблокированы.