ESET виявив сотні тисяч спроб використання вразливості у Log4j
Компанія ESET виявила сотні тисяч спроб використати вразливість у Log4j
ESET повідомляє про сотні тисяч спроб використати вразливість у Log4j. Найбільша кількість зафіксована в США, Великобританії, Туреччині, Німеччині та Нідерландах.
"Кількість спроб підтверджує, що ця масштабна проблема не зникне найближчим часом. Звичайно, зловмисники тестують багато варіантів експлойтів, але не всі спроби обов'язково шкідливі. Деякі можуть бути безпечними, враховуючи, що дослідники та компанії з інформаційної безпеки також тестують експлойти на практиці з метою захисту", - говорить директор з досліджень ESET.
Log4j - це бібліотека журналів на основі Java з відкритим вихідним кодом, яка широко використовується в багатьох популярних додатках і сервісах, таких як Apple, Twitter, Amazon, Google, LinkedIn.
В кінці листопада 2021 року в цій бібліотеці була виявлена вразливість Log4Shell, яка дозволяє зловмиснику запускати довільний код на конкретному сервері. При цьому для запуску коду, який може привести до повного контролю над системами і крадіжки конфіденційних даних, кіберзлочинцю навіть не потрібен фізичний доступ до них.
Вже 1 грудня 2021 року був зафіксований перший відомий експлойт для вразливості Log4Shell. Виправлення Log4Shell було випущено 10 грудня 2021 року.
Завдяки наявності коду експлойту в інтернеті хакери активно сканують і використовують вразливі системи. З іншого боку, фахівці з інформаційної безпеки оновлюють системи і мінімізують потенційні ризики, а розробники перевіряють програми і бібліотеки коду на вразливі версії Log4j.
Для захисту від експлойтів важливо знайти всі вразливі версії бібліотеки Log4j. Почніть зі створення списку пріоритетних систем для пошуку і оцінки всього в порядку важливості. Ось кілька найкращих порад, які допоможуть вам у цьому процесі:
-
Визначте Log4Shell у ваших системах (для Linux і Windows).
Скрипт виявлення експлуатації log4j RCE, доступний на GitHub, шукає проблемний файл JndiLookup.class в будь-якому архіві .jar.
-
Визначте спроби використання вразливості Log4Shell у ваших журналах (для Linux).
Скрипт виявлення експлуатації log4j RCE шукає log4Shell у нестиснутих файлах у каталозі журналів Linux /var/log та всіх його підкаталогах.
-
Фіксуйте результати.
Після запуску будь-яких скриптів або інструментів виявлення обов'язково запишіть результати, щоб створити повну аудиторську документацію для всіх ваших систем. Аудит повинен вказати, чи був знайдений Log4Shell і виявлені спроби його використання в журналах.
-
Використовуйте останню версію Log4j.
Ураженими версіями Log4j 2 є всі версії з ядром log4j від 2.0-beta9 до 2.15.0. Таким чином, варто оновити бібліотеку до версії 2.16.0, яка є актуальною. Зверніть увагу, що бібліотеку не слід плутати з log4j-api, на який не впливає Log4Shell.
-
Блокування підозрілих IP-адрес.
Нарешті, підозрілі IP-адреси можна заблокувати за допомогою брандмауера або системи запобігання вторгнень .
-
Продукти ESET виявляють експлойти (JAVA/Exploit.CVE-2021-44228, JAVA/Exploit.CVE-2021-44228.B) за допомогою Log4Shell. Таким чином, спроби зловмисників, які намагаються проникнути в систему, будуть заблоковані.
