Краткий обзор Log4Shell, самого опасного Java-эксплойта за последние годы
Последние новости в мире кибербезопасности и, в свою очередь, в более широкой ИТ-сфере были сосредоточены вокруг уязвимости Log4Shell (CVE-2021-44228). Многие специалисты по безопасности считают, что это одна из худших уязвимостей, которые когда-либо встречались. Хотя новости об этой уязвимости быстро меняются, может быть полезно получить общее представление о том, что это такое.
В начале декабря 2021 года многочисленные исследователи кибербезопасности начали бить тревогу по поводу уязвимости, которая позже будет классифицирована как критическая. Эта уязвимость оказалась эксплойтом нулевого дня в библиотеке протоколирования Java Apache Log4j. Java в целом уже много лет является небезопасным языком программирования, и это лишь последняя проблема.
Нулевой день активно эксплуатировался еще до того, как исследователи узнали об этом. По данным Bleeping Computer, злоумышленники используют CVE-2021-44228 для установки программ-вымогателей, совершения атак типа «отказ в обслуживании», формирования бот-сетей и создания маяков Cobalt Strike.
Согласно CVE, Log4jShell характеризуется следующим:
«Функции Apache Log4j2 <= 2.14.1 JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемых злоумышленниками LDAP и других конечных точек, связанных с JNDI. Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений».
Log4Shell является серьезной проблемой, поскольку многие глобальные корпорации полагаются на библиотеку ведения журналов Apache Log4j. Затронутые организации включают Amazon AWS, Cloudflare, Steam и многие другие. Хотя Apache выпустил исправления для этой уязвимости, каждое исправление было неполным, поскольку продолжают возникать новые проблемы. По сути, весь ИТ-мир находится в гонке со временем, чтобы устранять утечки, которые возникают быстрее, чем их можно устранить. Исправление Log4Shell будет почти непреодолимой задачей, но это необходимо сделать.
В сообщении блога о Log4Shell Пол Даклин из Sophos предлагает, пожалуй, наиболее логичную стратегию смягчения последствий, которой можно следовать на данном этапе. Хотя весь пост стоит прочитать из-за краткого объяснения Log4Shell, стратегии защиты от него заслуживают особого внимания. Короче говоря, Даклин утверждает, что ИТ-команды должны:
- Патч для последней версии журнала Apache (2.16.0 является самой последней на момент написания этой статьи).
- Немедленно прекратите использование Log4j 1.x, так как он не поддерживается, а также содержит аналогичную ошибку, как Log4Shell. Отсутствие поддержки равносильно тому, что вы никогда не увидите патч, что оставляет вас открытым для постоянной эксплуатации.
- Если вы не можете выполнить обновление в данный момент, заблокируйте JNDI «отправлять запросы к ненадежным серверам».
С этой ошибкой, возникающей во время праздничного сезона, Log4Shell действительно можно назвать идеальным штормом. Специалисты по кибербезопасности уже находятся в состоянии повышенной готовности из-за роста числа киберпреступлений в это время года. Log4Shell только что запустил все в ускоренном режиме и действительно сделает этот сезон 2021 года незабываемым по всем неправильным причинам.