Компания ESET — лидер в области информационной безопасности — сообщила о сотнях тысяч попыток использования уязвимости в Log4j. Наибольшее количество было зафиксировано в США, Великобритании, Турции, Германии и Нидерландах.

«Количество попыток подтверждает, что эта масштабная проблема не исчезнет в ближайшее время. Конечно, злоумышленники тестируют многие варианты эксплойтов, но не все попытки обязательно злонамерены. Некоторые могут быть безопасными, учитывая, что исследователи и компании с информационной безопасности также тестируют эксплойты на практике в целях защиты», — рассказывает Роман Ковач, директор по исследованиям компании ESET.

Утилита Log4j вызвал потрясение далеко за пределами индустрии безопасности. ESET.

Заблокированные попытки использования уязвимости в Log4j по всему миру.

Чем вызвана ситуация?

Стоит отметить, что Log4j – это библиотека журналов на основе Java с открытым исходным кодом, которая широко используется во многих популярных приложениях и сервисах, например, Apple, Twitter, Amazon, Google, LinkedIn.

В конце ноября 2021 года в этой библиотеке была обнаружена уязвимость Log4Shell, которая позволяет злоумышленнику запускать произвольный код на определенном сервере. При этом для запуска кода, который может привести к полному контролю над системами и кражи конфиденциальных данных, киберпреступнику не нужен даже физический доступ к ним.

Уже 01 декабря 2021 был зафиксирован первый известный эксплойт для уязвимости Log4Shell. Исправление для Log4Shell было выпущено 10 декабря 2021 года.

В связи  с доступностью в Интернете кода эксплойта хакеры активно сканируют и используют уязвимые системы. С другой стороны, специалисты по информационной безопасности обновляют системы и минимизируют потенциальные риски, а разработчики проверяют программы и библиотеки кода на наличие уязвимых версий Log4j.

Что делать?

Для защиты от эксплойтов важно найти все уязвимые версии библиотеки Log4j. Начните с создания приоритетного списка систем для поиска и оценивайте все в порядке важности. Ниже представлено несколько рекомендаций, которые помогут в этом процессе.

    1. Выявите Log4Shell в ваших системах (для Linux и Windows).Этот скрипт, доступный на GitHub, ищет проблемный файл JndiLookup.class в любом архиве .jar.
    2. Выявите попытки использования уязвимости Log4Shell в ваших журналах (для Linux).Скрипт, также доступный по ссылке GitHub выше, ищет случаи использования Log4Shell в несжатых файлах в каталоге журналов Linux /var/log и всех его подкаталогах.
    3. Зафиксируйте результаты.После запуска любых скриптов или инструментов обнаружения обязательно запишите результаты для создания полной документации аудита всех ваших систем. Аудит должен указать, была ли найдена Log4Shell и обнаружены в журналах попытки ее использования.
    4. Используйте последнюю версию Log4j.Уязвимыми версиями Log4j 2 являются все версии с ядром log4j от 2.0-beta9 до 2.15.0. Таким образом, стоит обновить библиотеку до версии 2.16.0, которая является актуальной. Обратите внимание, что библиотеку не следует путать с log4j-api, на которую Log4Shell не влияет.
    5. Блокируйте подозрительные IP-адреса.И, наконец, подозрительные IP-адреса можно заблокировать с помощью брандмауэра или системы предотвращения вторжений.

Следует отметить, что продукты ESET обнаруживают эксплойты (JAVA/Exploit.CVE-2021-44228, JAVA/Exploit.CVE-2021-44228.B) с использованием Log4Shell. Таким образом, попытки злоумышленников, пытающихся проникнуть в систему, будут заблокированы.

Источник ESET 

Если Вы хотите купить решения ESET, обращайтесь к нашим специалистам +380 (44) 383 4410 или sales@softico.ua