Компанія ESET — лідер у галузі інформаційної безпеки — повідомила про сотні тисяч спроб використання уразливості в Log4j. Найбільша кількість була зафіксована у США, Великобританії, Туреччині, Німеччині та Нідерландах.
«Кількість спроб підтверджує, що ця масштабна проблема не зникне найближчим часом. Звичайно, зловмисники тестують багато варіантів експлойтів, але не всі спроби обов’язково є зловмисними. Деякі можуть бути безпечними, враховуючи, що дослідники та компанії з інформаційної безпеки також тестують експлойти на практиці в цілях захисту», — розповідає коментує Роман Ковач, директор з досліджень компанії ESET.
Чим спричинено ситуацію?
Варто зазначити, що Log4j — це бібліотека журналів на основі Java з відкритим вихідним кодом, яка широко використовується у багатьох популярних додатках і сервісах, наприклад, Apple, Twitter, Amazon, Google, LinkedIn.
У кінці листопада 2021 року в цій бібліотеці було виявлено уразливість Log4Shell, яка дозволяє зловмиснику запускати довільний код на певному сервері. При цьому для запуску коду, що може призвести до повного контролю над системами та крадіжки конфіденційних даних, кіберзлочинцю не потрібен навіть фізичний доступ до них.
Вже 01 грудня 2021 року було зафіксовано перший відомий експлойт для уразливості Log4Shell. Виправлення для Log4Shell було випущено 10 грудня 2021.
Завдяки доступності в Інтернеті коду експлойту хакери активно сканують та використовують уразливі системи. З іншого боку спеціалісти з інформаційної безпеки оновлюють системи та мінімізують потенційні ризики, а розробники перевіряють програми та бібліотеки коду на наявність уразливих версій Log4j.
Що робити?
Для захисту від експлойтів важливо знайти всі уразливі версії бібліотеки Log4j. Почніть зі створення пріоритетного списку систем для пошуку та оцінюйте їх всі в порядку важливості. Нижче наведено декілька рекомендацій, які допоможуть у цьому процесі.
Виявіть Log4Shell у ваших системах (для Linux і Windows).
Цей скрипт, доступний на GitHub, шукає проблемний файл JndiLookup.class у будь-якому архіві .jar.
Виявіть спроби використання уразливості Log4Shell у ваших журналах (для Linux).
Скрипт, який також доступний за посиланням GitHub вище, шукає випадки використання Log4Shell в нестиснених файлах у каталозі журналів Linux /var/log та всіх його підкаталогах.
Зафіксуйте результати.
Після запуску будь-яких скриптів або інструментів виявлення обов’язково запишіть результати, щоб створити повну документацію аудиту всіх ваших систем. Аудит має вказати, чи було знайдено Log4Shell та виявлено в журналах спроби її використання.
Використовуйте останню версію Log4j.
Уразливими версіями Log4j 2 є всі версії з ядром log4j від 2.0-beta9 до 2.15.0. Таким чином, варто оновити бібліотеку до версії 2.16.0, яка є наразі актуальною. Зауважте, що цю бібліотеку не слід плутати з log4j-api, на яку Log4Shell не впливає.
Блокуйте підозрілі IP-адреси.
І, зрештою, підозрілі IP-адреси можна заблокувати за допомогою брандмауера або системи запобігання вторгненням.
Варто зазначити, що продукти ESET виявляють експлойти (JAVA/Exploit.CVE-2021-44228, JAVA/Exploit.CVE-2021-44228.B) з використанням Log4Shell. Таким чином, спроби зловмисників, які намагаються проникнути в систему, будуть заблоковані.