Несколько дней назад была обнаружена уязвимость Log4Shell (CVE-2021-44228), которая находится в библиотеке журналирования Log4j и оказалась встроена во множество приложений и программ по всему миру. Уязвимость позволяет даже начинающим хакерам с помощью специального LDAP-сервера встроить в веб-ресурс жертвы обработчик собственного протокола журналирования, который на самом деле может исполнять любые посторонние команды. Для проведения атаки не нужны специфические познания: достаточно лишь обладать общим представлением о языке программирования Java и его паттернах использования. Уязвимость получила наивысший бал по CVSS — 10.0.
Решение от «Сбер»
Сейчас для решения проблемы компании прибегают к классическим сетевым сканерам уязвимостей, однако в этом случае они малоэффективны, так как не обеспечивают стопроцентного покрытия всех журналируемых ресурсов. В результате при внешнем сканировании из сети можно пропустить уязвимое приложение.
Дочерняя компания Сбера BI.ZONE выложила в открытый доступ инструмент для борьбы с этой угрозой. Предложенный компанией инструмент обеспечивает сканирование изнутри самого веб-сервера. Естественно, что в режиме «белого ящика» с доступом ко всем компонентам веб-приложения можно обнаружить все варианты использования библиотеки Log4j и обеспечить ее обновление до версии 2.16.0, в которой уязвимость заблокирована. Если в проекте обнаружена уязвимая версия библиотеки, нужно срочно обновить Log4j и выполнить другие инструкции, указанные на GitHub BI.Zone.
«Последние дни уязвимость Log4Shell использовалась в сотнях тысячах успешных атак по всему миру, — предупреждает заместитель председателя правления «Сбербанка» Станислав Кузнецов. — Проблема в том, что для защиты надо знать, какие активы уязвимы — а это трудно выяснить. Поэтому наши эксперты разработали утилиту, которая позволяет найти все сетевые узлы, требующие дополнительной защиты и повышенного внимания офицеров кибербезопасности».
Критическая уязвимость Интернета
Следует отметить, что уровень опасности уязвимости CVE-2021-44228 по CVSS 10.0 означает не только то, что уязвимость критически опасна, может эксплуатироваться удаленно и имеет широкое распространение, но и то, что для ее эксплуатации не требуется особых навыков. Поэтому уже появились примеры эксплойтов, и хакеры по всему миру начали массово использовать их для проведения атак на веб-сервера и приложения. Пока целью этой деятельности является в основном добавление уязвимых устройств к пулу криптомайнеров или зомби-сетей, однако технологически с помощью уязвимости могут быть встроены закладки как в мобильный приложения так и в IoT-решения. В частности, уже подтверждена уязвимость ресурсов таких технологических гигантов как Google, Twitter, Amazon, Apple, Cloudflare, Minecraft и огромного количества других. К сожалению, пользователи ресурсов всех этих разработчиков ни как не могут повлиять на защищённость серверов, поэтому остаётся надеяться только на то, что все эти прекрасные компании в самое ближайшее время исправят обнаруженную уязвимость.
Приложение «Сбера» пригодиться небольшим разработчикам и компаниям, которые не менее уязвимы, но практически не имеют ресурсов для самостоятельного поиска уязвимых ресурсов. В качестве дополнительной меры защиты от внешних атак можно использовать облачный сервис BI.ZONE WAF. Он не освобождает от необходимости установить обновления, исправляющие уязвимость, но снижает риск успешной эксплуатации Log4Shell.