23 декабря 2021 6404

Уязвимость в Log4j: кто под угрозой и что делать для защиты?

В наших статьях мы не раз упоминали о том, что угрозы нулевого дня представляют особую опасность из-за сложности обнаружения и сверхбыстрого распространения. Одна из таких угроз навела шороху в начале декабря этого года. Нашли ее ИБ-специалисты китайского интернет-гиганта Alibaba. 

Обнаруженная уязвимость Log4Shell позволяет злоумышленникам удаленно запускать вредоносный код в чужой системе. Под угрозой оказались миллионы серверов и устройств по всему миру, и на данный момент справиться с кризисом не удается. 

Мы в ESET внимательно следим за ситуацией и всю самую актуальную информацию о Log4Shell решили собрать в этой статье.

Что такое Log4j?

Если кратко, это библиотека для языка Java с открытым исходным кодом. Log4j собирает в журнал информацию об активности приложений(логи), написанных на одном из самых популярных языке программирования. Логи в дальнейшем используются для выявления и устранения ошибок в работе программ, поэтому они необходимы всем. 

Поскольку на Java работает огромное количество систем, библиотека довольно популярна. Она используется и в корпоративном ПО, и на серверах госструктур, и в системах IT-гигантов, а также в облачных и игровых сервисах.

Чем опасна уязвимость Log4Shell? 

  • Легкость эксплуатации

Особенность уязвимости Log4Shell – в том, что ее использование не требует от злоумышленника глубоких технических знаний и навыков. Достаточно сделать так, чтобы Log4j зарегистрировал часть кода. А поскольку эта библиотека постоянно сохраняет в журнал большой набор событий и ошибок, совершаемых миллионами различных приложений, то и сценариев использования уязвимости огромное множество. 

Хакеры могут получить полный контроль над системой или устройством (включая внутренние корпоративные сети), украсть данные, загрузить и удаленно запустить вредоносное ПО (например, программу-вымогатель, троян, червя), а также запросто провести DDoS-атаку.

  • Глобальный охват

Библиотека Log4j применяется в различных системах по всему миру, включая серверы крупнейших технологических компаний: Google, Microsoft, Tesla, Amazon и многих других. 

По нашим данным, больше всего атак с использованием этой уязвимости совершается в США, Великобритании и Нидерландах, однако регистрируются они почти в 180 странах. 

В России, по информации компании Check Point Software Technologies, уязвимость Log4Shell коснулась 72% телеком-компаний, 58% производств и 57% предприятий розничной и оптовой торговли.

  • Новые угрозы

С момента обнаружения уязвимости выпущены уже три обновления библиотеки Log4j. Однако каждая новая версия открывала все новые бреши. В версии 2.15 угрозе подвержены серверы с нестандартной конфигурацией, а версия 2.16 не всегда защищает от бесконечной рекурсии при просчете поиска.

Последняя (на момент написания данной статьи) версия 2.17 исправляет уязвимость отказа в обслуживании.

Как обезопасить бизнес от эксплойта?

Для начала нужно провести внутренний IT- и ИБ-аудит, чтобы выявить все уязвимые места в инфраструктуре компании. Если вы используете библиотеку Log4j версии от 2.0-beta9 до 2.14.1, следует как можно скорее обновить ее до версии не ниже 2.17 и внимательно следить за новостями распространения эксплойта. 

По мнению экспертов, на устранение всех уязвимостей в Log4j могут уйти годы, поэтому ключевым элементом кибербезопасности в данной ситуации выступает именно проактивная защита. 

Мы рекомендуем использовать последние версии комплексных антивирусных решений для рабочих станций и серверов, такие как ESET Endpoint Security и ESET Server Security. Сильные стороны данных решений – эвристический анализ, встроенная песочница и машинное обучение. Эти технологии нацелены, в том числе, и на обнаружение новых, ранее неизвестных, целевых атак, включая эксплойты нулевого дня и программы-вымогатели. 

Мы уже отразили сотни тысяч попыток атаки с использованием Log4Shell, а обновленная база вирусных сигнатур ESET содержит необходимую информацию об известных эксплойтах.

Сейчас уязвимости Log4Shell уделяется повышенное внимание специалистов по всему миру. Ситуация выглядит сложной, но решаемой. Нужно лишь набраться терпения.