Что такое CVE-2021-44228 (Log4Shell и LogJam)
На прошлой неделе стало известно о новой критической уязвимости в библиотеке Apache Log4j, получившей номер CVE-2021-44228. Её также называют Log4Shell и LogJam. Это угроза удаленного выполнения кода (Remote Code Execution), которой присвоили максимальный уровень опасности по шкале CVSS — 10 из 10.
Как работает уязвимость
При эксплуатации уязвимости на сервере появляется возможность выполнить произвольный код и потенциально получить полный контроль над системой.
Уязвимость вынуждает приложения и серверы на основе Java, где используется библиотека Log4j, журналировать определенную строку в своих внутренних системах. Когда приложение или сервер обрабатывают такие логи, строка может заставить уязвимую систему загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником.
Кому угрожает новая уязвимость
Проблема была обнаружена во время поиска багов на серверах Minecraft, но Log4j присутствует практически в любых корпоративных приложениях и Java-серверах. Эту библиотеку можно найти почти во всех корпоративных продуктах, выпущенных Apache Software Foundation, включая:
- Apache Struts;
- Apache Flink;
- Apache Druid;
- Apache Flume;
- Apache Solr;
- Apache Flink;
- Apache Kafka;
- Apache Dubbo и многие другие.
Рекомендации к противодействию от ЦЗИ «Конфидент»
- по возможности установите самую последнюю версию библиотеки. Её можно скачать на странице проекта. Если библиотека используется в стороннем продукте, проверьте обновления от поставщика программного обеспечения;
- ознакомьтесь с рекомендациями Apache Log4j project;
- для снижения риска обновите сигнатуры Системы обнаружения и предотвращения вторжений (СОВ) Dallas Lock.
СОВ Dallas Lock vs CVE-2021-44228
«Конфидент» уже добавил новые сигнатуры, которые защитят обладателей СОВ Dallas Lock от новой уязвимости CVE-2021-44228 (Log4Shell и LogJam). Об этом мы написали в разделе с часто задаваемыми вопросами — FAQ.
Напомним, что СОВ Dallas Lock — это сертифицированная гибридная система обнаружения и предотвращения вторжений уровня узла в программном исполнении, которая является модулем СЗИ Dallas Lock 8.0.
Подробнее о модуле СОВ в составе Dallas Lock 8.0 редакции К можно почитать здесь. В составе Dallas Lock 8.0 редакции С — здесь.
Если вы уже наш пользователь, подробную информацию по всему набору сигнатур СОВ Dallas Lock можно получить по идентификационному номеру уязвимости, который находится во вкладке:
СОВ ⇒ Сигнатуры ⇒ Сигнатуры трафика ⇒ Информация об уязвимости
https://dallaslock.ru/about/news/Kak-protivodeystvovat-kriticheskoy-uyazvimosti-CVE-2021-44228-v-biblioteke-Apache-Log4j/