☰

“0 dienas” ievainojamība Apache Java Logging bibliotēkā Log4j

[Papildināts 30.12.2021]

1. Log4j versijas un atjauninājumi:

2.0-beta9 līdz 2.14.1- satur ievainojamību CVE-2021-44228 (attālinātā koda izpilde, RCE)
2.0-beta9 līdz 2.15.0 - satur ievainojamību CVE-2021-45046 (attālinātā koda izpilde, RCE)
2.0-beta9 līdz 2.16.0 - satur ievainojamību CVE-2021-45105 (DDOS)
2.0-alpha7 līdz 2.17.0 - satur ievainojamību CVE-2021-44832 (attālinātā koda izpilde, RCE, bet ir nepieciešamas konfigurācijas izmaiņas)

Jaunākās uz šo brīdi iesakāmās versijas:
2.17.1 (Java 8)
2.12.4 (Java 7)
2.3.2 (Java 6)

2. Ir svarīgi apzināties, ka ievainojamu sistēmu ir iespējams kompromitēt arī, ja tā nav pa tiešo pieejama no interneta. Tieši tāpēc IT atbildīgajam:

  • Ir jāpārbauda, kura sistēma izmanto log4j bibliotēku un vai tai ir uzstādīta jaunākā versija.
    Lai atvieglotu ietekmējamo sistēmu noteikšanu, iesakām savu izmantoto sistēmu sarakstu salīzdināt ar šobrīd zināmo ietekmēto sistēmu sarakstu: https://github.com/NCSC-NL/log4shell/tree/main/software
  • Pat, ja atjauninājums ir uzstādīts, ir jāpārbauda sistēmas žurnālfaili, vai nav novērotas anomālijas no decembra sākuma līdz atjauninājuma uzlikšanas brīdim.
  • Globālās tendences rāda, ka log4j ievainojamība bieži tiek izmantota, lai iekļautu serveri botnet tīklā vai lai ražotu kriptovalūtu. Pavērojiet, vai serveris neveic aizdomīgus DNS pieprasījumus vai interneta savienojumus.
  • Profilaktiski iesakāms noskenēt iekšējo tīklu un savas ārējās IP adreses ar ievainojamības detektēšanas rīkiem - https://github.com/NCSC-NL/log4shell/blob/main/scanning/README.md

4. Jāveic pārbaudes, vai izmantotās aizsardzības sistēmas, piemēram, WAF, IPS, ir aktuālas (atjaunināta datubāze, programmatūra).

5. Informācija par ietekmes mazināšanas pasākumiem: https://github.com/NCSC-NL/log4shell/blob/main/mitigation/README.md

6. Aicinām regulāri sekot jaunākajai pieejamajai informācijai par ievainojamībām, kas skar log4j bibliotēku:

 


[Papildināts 16.12.2021]

IT drošības pētnieku kopienā informācija saistībā ar "Log4Shell" ievainojamību tiek papildināta un precizēta gandrīz katru dienu. CERT.LV eksperti ir apkopojuši aktuālās izmaiņas:

1. Precizēta informācija par ievainojamajām Apache Java Logging bibliotēkas Log4j versijām - izrādās, ka arī versija 2.15.0. tomēr līdz galam nenovērš ievainojamību. Tādēļ šobrīd ir aicinājums veikt atjauninājumus uz 2.16.0 versiju.

2. Iepriekš ieteiktais risinājums trustURLCodebase=false izrādījās apejams visās Java versijās, un ar to iespējams panākt pilnu attālinātā koda izpildi (Remote Code Execution).

3. Iepriekš ieteiktais risinājums formatMsgNoLookups=true pasargā no attālinātā koda izpildes, bet Log4j versijā 2.15.0 tas nepasargā no pakalpojumatteices (Denial of Service) uzbrukuma. Ieteicamais risinājums - veikt atjauninājumus uz 2.16.0 versiju.

4. Tāpat aicinām nepaļauties uz WAF (Web Application Firewalls) risinājumu, ja tādu izmantojat.

 


[Oriģinālā ziņa 10.12.2021]

Brīdinājums! Kiberdrošības pētnieki ir atklājuši kritisku “0 dienas” ievainojamību Apache Java Logging bibliotēkā Log4j sauktu arī par "Log4Shell" (CVE-2021-44228). Ievainojamība kibertelpā jau tiek izmantota veiksmīgos uzbrukumos, un tā sniedz uzbrucējiem iespēju iegūt pilnīgu kontroli pār skartajiem serveriem.

Potenciāli ievainojamas ir visas sistēmas, kas izmanto Apache Java Logging bibliotēkas Log4j versijas no 2.0 līdz 2.14.1, taču šī informācija vēl tiek pētīta.

Kā daļējs pagaidu risinājums ietekmēto sistēmu administratoriem tiek piedāvāts - pārkonfigurēt ietekmētos serverus ar "log4j2.formatMsgNoLookups" uz vērtību "true" vai veikt atjauninājumus uz "log4j-2.15.0-rc1" versiju (vai jaunāku).
 

Vairāk:

Ietekmēto produktu saraksts, ievainojamības tehniskā analīze un risinājumi:
https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592?s=09

Apraksts un rekomendācijas:
https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited
https://www.randori.com/blog/cve-2021-44228/

Rekomendācijas VMware:
https://www.vmware.com/security/advisories/VMSA-2021-0028.html