Уязвимость Log4Shell. Описание и руководство к действию

Об уязвимости

24 ноября 2021 года группа исследователей кибербезопасности из Alibaba Cloud официально уведомила Apache об обнаружении опасной уязвимости удаленного выполнения кода в библиотеке журналирования Apache Log4j 2. 

Log4j 2 – это широко распространённая сторонняя библиотека журналов с открытым исходным кодом, используемая в программных приложениях и службах. Log4j 2 применяется в первую очередь в приложениях, написанных на языке программирования Java, однако также часто встречается в приложениях, которые используют другие языки (Scala, Groovy или Clojure). Поскольку данные языки программирования используются множеством приложений как для OS Windows, так и Linux, то уязвимость имеет кроссплатформенный характер.

Уязвимость Log4Shell (CVE-2021-44228) является крайне опасной по трем причинам:

  1. Злоумышленники могут легко ее эксплуатировать. Передать уязвимому компоненту эксплойт можно множеством способов, например, указав в поле логина или одном из полей HTTP заголовка простую текстовую команду. Особые навыки для этого не нужны.

  2. Библиотека, в которой нашли Log4Shell, чрезвычайно широко используется в системах и продуктах различных производителей. В числе пострадавших компании Apple, Amazon, CloudFlare, Google, LinkedIn, уязвимы решения от Cisco, Oracle, RedHat и др. Актуальный список подверженных уязвимости продуктов можно найти ниже.

  3. Уязвимые продукты и решения, как правило, доступны в интернете, т. е. злоумышленнику не нужно каким-либо образом проникать в инфраструктуру компании-жертвы – достаточно всего лишь обратиться к веб-сайту или опубликованному решению, использующим уязвимый компонент. 

6 декабря было выпущено обновление 2.15.0 для библиотеки log4j, в котором была исправлена ошибка, вызывавшая уязвимость CVE-2021-44228. Вскоре было обнаружено что исправление не в полной мере исправляло проблему, о чем был выпущен бюллетень CVE-2021-45046, 13 декабря последовал выпуск обновления 2.16.0. Однако и в этой версии была найдена ошибка, на этот раз позволяющая в некоторых случаях вызвать отказ в обслуживании – ей соответствует уязвимость CVE-2021-45105, которая была исправлена 18 декабря в версии 2.17.0.

Организациям необходимо:

  • Выполнить настройку сигнатур на WAF для защиты периметра и ограничить доступ приложений в интернет.
  • Провести инвентаризацию ИТ-активов, выявить уязвимые компоненты.
  • Запланировать и провести обновление всего уязвимого ПО до версий, включающих библиотеку log4j версии не ниже 2.16.0 (желательно 2.17.0). Актуальный список подверженных уязвимости продуктов крупных производителей решений можно найти ниже.
В настоящее время центр мониторинга и реагирования на инциденты ИБ «Инфосистемы Джет» Jet CSIRT фиксирует факты того, что уязвимость Log4Shell уже активно применяется в реальных атаках на организации, в том числе операторами шифровальщиков.

Подробнее об угрозе в бюллетене Jet CSIRT

Таблица обновлений по основным вендорам

Дата обновления 20.12.2021

В списке собраны крупные поставщики решений для корпоративного сектора, ссылки на дополнительные ресурсы с информацией об уязвимых продуктах приведены в  бюллетене Jet CSIRT.

Рекомендуемое некоторыми поставщиками включение параметра noMsgFormatLookups (LOG4J_FORMAT_MSG_NO_LOOKUPS, %m{nolookups}) для log4j не является полноценным средством устранения уязвимостей CVE-2021-44228 и CVE-2021-45046, позволяющих выполнять произвольный код (см. подробности). Единственным решением служит обновление ПО, включающее версию библиотеки log4j не ниже 2.16.0.

Рекомендуемое некоторыми поставщиками удаление класса JndiLookup из jar-файла приложения или библиотеки log4j позволяет устранить только уязвимости, связанные с выполнением произвольного кода, но не исправляет уязвимость CVE-2021-45105, позволяющую вызвать отказ в обслуживании. Единственным решением служит обновление ПО, включающее версию библиотеки log4j не ниже 2.17.0.

Вендор/Продукт Ссылка на страницу производителя с информацией о проблеме
Apache Уязвимость подтверждена в Flink, Hive, JMeter, Solr, Struts и некоторых других продуктах. Hadoop, Tomcat, ZooKeeper не содержат уязвимости
AppDynamics Уязвимость подтверждена в различных компонентах решений, выпущены обновления
Arista Уязвимость подтверждена в различных компонентах решений, ожидается выход обновлений
Atlassian Уязвимость не подтверждена
Avaya Уязвимость подтверждена в различных компонентах решений, выпущена часть обновлений
BMC Уязвимость подтверждена в различных компонентах решений, выпущена часть обновлений
Broadcom Уязвимость подтверждена в различных компонентах решений, выпущена часть обновлений
Brocade Уязвимость подтверждена в SANnav, выпущены рекомендации
CheckPoint Уязвимость не подтверждена
Cisco Уязвимость подтверждена в различных компонентах решений, выпущена часть обновлений
Citrix Уязвимость подтверждена в Citrix Endpoint Management (Citrix XenMobile Server) и Linux Virtual Delivery Agent, выпущены обновления
Cloudera Уязвимость подтверждена
Commvault Уязвимость подтверждена в различных компонентах решений, выпущены обновления
Couchbase Уязвим только ElasticSearch connector, выпущено обновление
CyberArk Уязвимость подтверждена в различных компонентах решений, выпущены обновления
Dell Подтверждены уязвимости в Data Domain, Avamar, NetWorker, PowerStore, Unity и других продуктах, ожидается выход обновлений
Dynatrace Ожидается информация
Elastic Уязвимость подтверждена в различных компонентах решений, выпущены обновления
ESET Уязвимость не подтверждена
Extreme Networks Уязвимость подтверждена в IQVA, ожидается выход обновлений
F5 Уязвимость подтверждена в Traffix SDC, ожидается выход обновлений
Forcepoint Уязвимость подтверждена
FortiNet Уязвимость подтверждена в различных компонентах решений, выпущена часть обновлений
Fujitsu Уязвимость подтверждена в ServerView OM и других продуктах, ожидается выход обновлений
Genesys Ожидается информация
GitLab Уязвимость подтверждена в различных компонентах решений, выпущены обновления
Grafana Уязвимость не подтверждена
HITACHI Vantara Уязвимость подтверждена в Content Platform, HDvM и других продуктах
HP Уязвимость подтверждена в продуктах Teradici, выпущены обновления
HPE Уязвимость подтверждена в SimpliVity, Ezmeral Container Platform, Ezmeral Data Fabric, 3PAR Service Processor, SANnav и других продуктах
Huawei Уязвимость подтверждена только в продукте SMSGW, выпущены обновления
IBM Подвержены уязвимости в WebSphere, HMC, Security Guardium, решениях Spectrum и других продуктах, выпущена часть обновлений
Informatica Уязвимость подтверждена в различных компонентах решений, выпущены обновления
Ivanti Уязвимость подтверждена в различных компонентах решений, выпущены рекомендации
Jenkins Уязвимость подтверждена только в нескольких плагинах
JetBrains TeamCity Уязвимость подтверждена в YouTrack и Hub, выпущены обновления
JFROG Уязвимость не подтверждена
Juniper Уязвимость подтверждена в различных компонентах решений, выпущены рекомендации
KEMP Уязвимость не подтверждена
Keycloak Уязвимость не подтверждена
Kofax Уязвимость подтверждена в различных компонентах решений, выпущены обновления
Lenovo Уязвимость подтверждена в XClarity, ThinkAgile и других продуктах, выпущена часть обновлений
McAfee Уязвимость подтверждена
MicroFocus Уязвимость подтверждена в различных компонентах решений (в том числе ArcSight), выпущены обновления
Microsoft Уязвимость не подтверждена в основных продуктах, есть несколько замечаний
MongoDB Уязвимость не подтверждена в on-premises продуктах
Neo4j Уязвимость подтверждена в различных компонентах решений, выпущены обновления
NetApp Массивы не содержат уязвимости, проблемы в основном в различных средства управления (см. Affected Products)
Nutanix Уязвимость подтверждена в различных компонентах решений, выпущена часть обновлений
NVIDIA Уязвимость подтверждена в CUDA Toolkit Nsight Eclipse Edition, выпущены обновления
OpenNMS Уязвимость подтверждена в различных компонентах решений, выпущены обновления
OpenSearch Уязвимость подтверждена в различных компонентах решений, выпущены обновления
Oracle Уязвимость подтверждена в EBS, Fusion Middleware, Enterprise Manager, Unified Directory, Data Integrator, WebLogic выпушены рекомендации
Palo Alto Уязвимость подтверждена в PAN-OS for Panorama и Exact Data Matching CLI, ожидается выход обновлений
PaperCut Уязвимость подтверждена в различных компонентах решений, выпущены обновления
Pegasystems Уязвимость подтверждена в различных компонентах решений, выпущены обновления
Pentaho Уязвимость подтверждена в различных компонентах решений, выпущены рекомендации
Polycom Уязвимость подтверждена в различных компонентах решений, выпущена часть обновлений
PostgreSQL Уязвимость не подтверждена
PureStorage Уязвимость подтверждена во всех основных продуктах, ожидается выход обновлений
QlikTech Уязвимость подтверждена в различных компонентах решений, выпущены рекомендации
RedHat Уязвимости в OpenShift, OpenStack, Fuse, AMQ Streaming и других продуктах
Redis Уязвимость только в клиентском ПО
Riverbed Уязвимость подтверждена в различных компонентах решений, ожидается выход обновлений
RSA Уязвимость не подтверждена
SAP Уязвимость подтверждена в различных компонентах решений, выпущены обновления
SAS Institute Уязвимость подтверждена в различных компонентах решений, выпущены рекомендации
Schneider Electric Уязвимость подтверждена в различных компонентах решений, выпущены обновления
Siemens Уязвимость подтверждена в различных компонентах решений, ожидается выход обновлений
Solarwinds Уязвимость подтверждена в различных компонентах решений, выпущены рекомендации
Sonatype Уязвимость не подтверждена
SonicWall Уязвимость подтверждена в Email Security, выпущены обновления
Sophos Уязвимость подтверждена в Mobile EAS Proxy, выпущены обновления
SuSE Уязвимость подтверждена в OpenStack Cloud, ожидаются обновления
Talend Ожидается информация
TendMicro Уязвимость подтверждена в различных компонентах решений, ожидаются обновления
Ubiquity Уязвимость подтверждена в UniFi Network Application и UniFi Network Controller, выпущены обновления
Varonis Ожидается информация
Veeam Уязвимость не подтверждена
VERITAS Уязвимость подтверждена в NetBackup и других продуктах, выпущены рекомендации
VMware Уязвимость подтверждена в vCenter, NSX-T, vROps, vRLI, vRA, Horizon и некоторых других продуктах, выпущена часть обновлений
WildFly Уязвимость не подтверждена
WSO2 Уязвимость подтверждена, выпущены обновления
Zabbix Уязвимость не подтверждена
Zerto Уязвимость не подтверждена

Нужна консультация и помощь

Продолжая использование настоящего сайта, вы выражаете своё согласие на обработку ваших персональных данных. Порядок обработки ваших персональных данных, а также реализуемые требования к их защите содержатся в Политике обработки ПДН. В случае несогласия с обработкой ваших персональных данных вы можете отключить сохранение cookie в настройках вашего браузера.

Читать полностью

Уважаемые посетители!

Мы обновили наш сайт. Старую версию сайта jet.su вы сможете найти на old.jet.su