В наших статьях мы не раз упоминали о том, что угрозы нулевого дня представляют особую опасность из-за сложности обнаружения и сверхбыстрого распространения. Одна из таких угроз навела шороху в начале декабря этого года. Нашли ее ИБ-специалисты китайского интернет-гиганта Alibaba.
Обнаруженная уязвимость Log4Shell позволяет злоумышленникам удаленно запускать вредоносный код в чужой системе. Под угрозой оказались миллионы серверов и устройств по всему миру, и на данный момент справиться с кризисом не удается.
Мы в ESET внимательно следим за ситуацией и всю самую актуальную информацию о Log4Shell решили собрать в этой статье.
Что такое Log4j?
Если кратко, это библиотека для языка Java с открытым исходным кодом. Log4j собирает в журнал информацию об активности приложений(логи), написанных на одном из самых популярных языке программирования. Логи в дальнейшем используются для выявления и устранения ошибок в работе программ, поэтому они необходимы всем.
Поскольку на Java работает огромное количество систем, библиотека довольно популярна. Она используется и в корпоративном ПО, и на серверах госструктур, и в системах IT-гигантов, а также в облачных и игровых сервисах.
Чем опасна уязвимость Log4Shell?
- Легкость эксплуатации
Особенность уязвимости Log4Shell – в том, что ее использование не требует от злоумышленника глубоких технических знаний и навыков. Достаточно сделать так, чтобы Log4j зарегистрировал часть кода. А поскольку эта библиотека постоянно сохраняет в журнал большой набор событий и ошибок, совершаемых миллионами различных приложений, то и сценариев использования уязвимости огромное множество.
Хакеры могут получить полный контроль над системой или устройством (включая внутренние корпоративные сети), украсть данные, загрузить и удаленно запустить вредоносное ПО (например, программу-вымогатель, троян, червя), а также запросто провести DDoS-атаку.
- Глобальный охват
Библиотека Log4j применяется в различных системах по всему миру, включая серверы крупнейших технологических компаний: Google, Microsoft, Tesla, Amazon и многих других.
По нашим данным, больше всего атак с использованием этой уязвимости совершается в США, Великобритании и Нидерландах, однако регистрируются они почти в 180 странах.
В России, по информации компании Check Point Software Technologies, уязвимость Log4Shell коснулась 72% телеком-компаний, 58% производств и 57% предприятий розничной и оптовой торговли.
- Новые угрозы
С момента обнаружения уязвимости выпущены уже три обновления библиотеки Log4j. Однако каждая новая версия открывала все новые бреши. В версии 2.15 угрозе подвержены серверы с нестандартной конфигурацией, а версия 2.16 не всегда защищает от бесконечной рекурсии при просчете поиска.
Последняя (на момент написания данной статьи) версия 2.17 исправляет уязвимость отказа в обслуживании.
Как обезопасить бизнес от эксплойта?
Для начала нужно провести внутренний IT- и ИБ-аудит, чтобы выявить все уязвимые места в инфраструктуре компании. Если вы используете библиотеку Log4j версии от 2.0-beta9 до 2.14.1, следует как можно скорее обновить ее до версии не ниже 2.17 и внимательно следить за новостями распространения эксплойта.
По мнению экспертов, на устранение всех уязвимостей в Log4j могут уйти годы, поэтому ключевым элементом кибербезопасности в данной ситуации выступает именно проактивная защита.
Мы рекомендуем использовать последние версии комплексных антивирусных решений для рабочих станций и серверов, такие как ESET Endpoint Security и ESET Server Security. Сильные стороны данных решений – эвристический анализ, встроенная песочница и машинное обучение. Эти технологии нацелены, в том числе, и на обнаружение новых, ранее неизвестных, целевых атак, включая эксплойты нулевого дня и программы-вымогатели.
Мы уже отразили сотни тысяч попыток атаки с использованием Log4Shell, а обновленная база вирусных сигнатур ESET содержит необходимую информацию об известных эксплойтах.
Сейчас уязвимости Log4Shell уделяется повышенное внимание специалистов по всему миру. Ситуация выглядит сложной, но решаемой. Нужно лишь набраться терпения.