В популярной библиотеке жур­налиро­вания Log4j, которая является частью общего проекта «Apache Logging Project», обнаружили критическую уяз­вимость Log4Shell. В этой статье я расскажу, как защититься от уязвимости Log4Shell.

Уязвимость Log4Shell

В декаб­ре 2021 года программисты Apache Software Foundation выкатили экс­трен­ное обновле­ние безопас­ности, исправ­ляющее критическую уяз­вимость (CVE-2021-44228) в биб­лиоте­ке жур­налиро­вания Log4j. Сроч­ность выпуска обновления объ­ясня­лась тем, что хакеры уже начали выкладывать в откры­тый дос­туп PoC-экс­пло­иты, объ­ясняя, что эксплуатировать уязвимость мож­но уда­лен­но, при­чем для это­го не нужны осо­бые знания и тех­ничес­кие навыки.

Уязвимость получила наз­вание Log4Shell и по шкале оценки уязвимостей наб­рала десять из десяти воз­можных балов. Баг Log4Shell позволяет уда­лен­ное выпол­нение про­изволь­ного кода (RCE), при­чем вре­донос может попасть в сис­тему раз­личными спо­соба­ми, ведь для реализации ата­ки дос­таточ­но, что­бы необходимая запись ока­залась в логах.

Log4shell — угрожает Minecraft или УЯЗВИМОСТЬ НУЛЕВОГО ДНЯ

Изначально уязвимость была обна­руже­на при поиске багов на сер­верах Minecraft, но биб­лиоте­ка Log4j при­сутс­тву­ет прак­тичес­ки во всех кор­поратив­ных при­ложе­ниях и серверах Java. Она присутствует в каждом корпоративном про­дук­те, выпущен­ным Apache Software Foundation, вклю­чая:

  • Apache Flink
  • Apache Flume
  • Apache Struts
  • Apache Druid
  • Apache Solr
  • Apache Dubbo
  • Apache Kafka

Так­же Log4j часто используют в про­ектах с открытым исходным кодом, в таких как: Redis, Ghidra, Elasticsearch, Elastic Logstash.

Получается, что, ком­пании, исполь­зующие какой-нибудь из перечисленных выше про­дук­тов, могут быть косвенно уяз­вимы перед подобного рода ата­кой, не имея об этом представления. Специалисты ИБ предупреждают, что уязвимости Log4Shell могут быть подвержены такие гиганты как: Amazaon Apple, Twitter, Steam, Cloudflare, Baidu и т.д.

Прин­цип работы уязвимости Log4Shell очень простой: баг вынуж­дает при­ложе­ния и сер­веры работающие на Java, где исполь­зует­ся Log4j, сох­ранять в логе специальную стро­ку. Ког­да сервер или при­ложе­ние обра­ботают лог, стро­ка зас­тавит сис­тему скачать и выполнить вре­донос­ный скрипт залитый на какой-нибудь сайт. Это может привести к полному зах­вату уяз­вимого сервера или при­ложе­ния, со всеми вытекающими.

К боль­шому сожале­нию, из‑за пов­семес­тной рас­простра­нен­ности Log4j ИБ‑экспер­ты уве­рены, что проб­лема Log4Shell име­ет все шан­сы стать не прос­то худ­шей уяз­вимостью 2021 года, но и самой боль­шой голов­ной болью пос­ледней пятилет­ки.

Поэто­му сей­час все при­зыва­ют всех как мож­но ско­рее про­верить и защитить свои сис­темы от атак, уста­новить пат­чи и при­нять иные меры пре­дос­торож­ности. Перечис­лим, что мож­но и нуж­но для это­го сде­лать.

Защита от уязвимости Log4Shell

Луч­ший вари­ант, разуме­ется, — обно­вить Log4j до пос­ледней акту­аль­ной вер­сии: на дан­ный момент это вер­сия 2.16. Для удобс­тва адми­нис­тра­торов спе­циалис­ты из ком­пании Huntress Labs под­готови­ли бес­плат­ный ска­нер, который ком­пании могут исполь­зовать для оцен­ки сво­их собс­твен­ных сис­тем на уяз­вимость.

Эк­спер­ты ком­пании Cybereason и Wow­се пред­ложили «вак­цину» от Log4Shell, получив­шую наз­вание Logout4Shell. «Вак­цина» пред­став­ляет собой скрипт, уда­лен­но экс­плу­ати­рующий баг для отклю­чения нуж­ных нас­тро­ек в уяз­вимом экзем­пля­ре Log4Shell. По сути, пей­лоад в дан­ном слу­чае без­вре­ден и отклю­чает параметр trustURLCodebase на уда­лен­ном сер­вере для сни­жения рис­ков.

Читайте также:  Как сделать броню для собаки в Майнкрафте

Спе­циалис­ты Cybereason объ­ясня­ют, что угро­зу мож­но смяг­чить, уста­новив для парамет­ра log4j2 . formatMsgNoLookups зна­чение true или уда­лив класс JndiLookup .

Кро­ме того, если на сер­вере Java runtimes >= 8u121, то по умол­чанию уста­нов­лено зна­чение false для парамет­ров:

Источник: spy-soft.net

Записки IT специалиста

По информации исследовательской лаборатории Imperva, самой серьезной угрозой кибербезопасности стала уязвимость нулевого дня Log4Shell. Ожидается, что маркетинговым компаниям в 2022 году нужно быть готовыми к хакерским атакам, осуществленным через данный эксплойт.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Что такое Log4Shell?

Чтобы разобраться, что представляет из себя данная уязвимость, обратимся к Log4j. Это Java-библиотека для фиксирования уведомлений об ошибках, которые присутствуют в корпоративных приложениях. Библиотеку включают в себя как непосредственно приложения, так и сети, облачные вычислительные сервисы. Многие программы, написанные на языке программирования Java, используют библиотеку Log4j для серверных и клиентских приложений.

Но в декабре 2021 года мировые предприятия столкнулись с уязвимостью критического уровня, которая стала известна под номером CVE-2021-44228. Эта проблема, критичность которой оценивается на 10 из 10, задевает ключевые функции Apache Log4j2. В частности, эта уязвимость позволяет киберпреступнику запускать код в удаленном режиме. Это приводит к неприятным последствиям. А именно, хакер может:

  • получить доступ к целой сети через пораженные устройства или приложения;
  • запустить любые коды;
  • обрести контроль над данными на инфицированном устройстве или программном обеспечении;
  • удалить или зашифровать файлы.

Log4Shell: чем опасна эта уязвимость?

Log4Shell нашли в Minecraft, кроме того, данная уязвимость обнаружена в ряде известных IT-продуктов, таких как iCloud, Steam, Amazon, Tesla, Twitter. Баг уже успел посеять панику среди пользователей. Ведь ожидается, что проблемная зона будет действовать в соответствие со сценарием полного разрушения безопасности. Поэтому компания Imperva даже назвала Log4Shell подобием коронавируса в Интернете.

Apache выпустила патч для CVE-2021-44228 (версия 2.15) 6 декабря 2021 года. Но этот патч не смог решить проблему в одном из компонентов уязвимости. Это вылилось в уязвимость CVE-2021-45046, и пришлось выпускать новый патч (версия 2.16), который вышел в IT-пространство 13 декабря. Скоро Apache создала третий патч (версия 2.17) для устранения уязвимости CVE-2021-45105 — это произошло 17 декабря. А 28 декабря появился очередной, четвертый патч (2.17.1) для борьбы с уязвимостью CVE-2021-4832.

Читайте также:  Майнкрафт сид на сокровищницу

Как защититься от Log4Shell?

Влияние уязвимостей нельзя недооценивать. Ведь миллиарды устройств запускают Java-приложения, в том числе и те девайсы, которые находятся в домашнем пользовании. Если они так или иначе зависят от уязвимой версии Log4Shell, хакер может обнаружить вектор атаки для эксплуатации конкретного девайса.

Компании, чья деятельность связана со сферой информационной безопасности, уже позаботились о своих клиентах. Выпустили патчи, обнародовали информацию о новаторских продвинутых механизмах защиты. Возьмем, к примеру, ExpressVPN (кстати, прочитать, что такое VPN, можно здесь). Фирма уже анонсировала, что пользователям виртуальной приватной сети не нужно бояться Log4Shell, ведь данный VPN содержит необходимый защитный слой от данной уязвимости. Поэтому пользователи, которые стремятся сохранить конфиденциальность данных при работе онлайн, подключаются к одному из VPN-серверов, и только после этого заходят в сеть.

Log4Shell позволяет использовать LDAP, открытый прикладной протокол, который хранит учетные записи и управляет ими. Log4Shell относится к разряду уязвимостей с функцией вызова удаленных методов на языке программирования Java. Чтобы защититься от уязвимостей, пользователи используют защиту с помощью блокировки доступа к уязвимым портам, а также с помощью анализа содержимого пакетов. На данный момент, полностью реализован механизм блокировки уязвимых портов. В планах — развитие второй указанной технологии.

В среде информационных технологий считается, что уязвимости нулевого дня не являются чем-то из ряда вон выходящим. Как правило, слабые местах в онлайн-платформах и веб-приложениях находят так называемые белые хакеры — профессионалы, которые работают в области кибербезопасности, ищут проблемные зоны в программном обеспечении при помощи продвинутого оборудования. А когда находят, сообщают об этом разработчикам, чтобы последние узнали о наличии проблемы и создали защитные механизмы.

В первую очередь, белые хакеры ищут уязвимости в экосистеме Java. Баги возникают именно здесь чаще всего, потому что с помощью языка программирования Java реализуются проекты, состоящие из кода, доступного в открытых источниках. С одной стороны, это обеспечивает необходимый уровень прозрачности, который ценится предприятиями.

Но безопасность не всегда находится на первом месте в таких приложениях. Так, компания IBM приводит пример некоторых алгоритмов безопасности — MD5, SHA-1, SSL-3.0. Сейчас эти стандарты вовсе не считаются безопасными, хотя раньше они выполняли свои защитные функции.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Читайте также:  Как рисовать амонг ас в Майнкрафте

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Поддержи проект!

Подпишись на наш Telegram-канал

Или подпишись на наш Телеграм-канал:

Источник: interface31.ru

Как защититься от уязвимости Log4Shell Log4j

Как защититься от уязвимости Log4Shell Log4j

Listen to this article

Чтобы открыть контент, необходимо пройти быструю регистрацию или войти в свой профиль. После этого Вы получите полный доступ ко всем материалам на портале.

Спасибо что вы с нами!

ВНИМАНИЕ! Все представленные ссылки в статьях могут вести на вредоносные сайты либо содержать вирусы. Переходите по ним на свой страхъ и риск. Тот кто целенаправлено зашел на статью знает что делает. Не нажимайте на все подряд бездумно.

Некоторые статьи были переведены с английского языка с помощью системы машинного перевода и могут содержать неточности или грамматические ошибки.

ВСЯ РАЗМЕЩЕННАЯ ИНФОРМАЦИЯ НА СТРАНИЦАХ ПОРТАЛА ВЗЯТА ИЗ ОТКРЫТЫХ ИСТОЧНИКОВ

БОЛЬШАЯ ЧАСТЬ ИНФОРМАЦИИ ПРЕДОСТАВЛЯЕТСЯ АБСОЛЮТНО БЕСПЛАТНО

Если Вам понравилась статья — поделитесь с друзьями

11 просмотров

Любая информация, размещенная на сайте https://rucore.net, предназначена только для свободного изучения пользователями сайта. Наша команда прилагает все усилия для того, чтобы предоставить на этом сайте достоверную и полезную информацию, которая отвечает на вопросы пользователей сайта. Ни при каких обстоятельствах Администрация Сайта не несёт ответственности за какой-либо прямой, непрямой, особый или иной косвенный ущерб в результате использования информации на этом Сайте или на любом другом сайте, на который имеется гиперссылка с данного cайта, возникновение зависимости, снижения продуктивности, увольнения или прерывания трудовой активности, а равно отчисления из учебных учреждений, за любую упущенную выгоду, приостановку хозяйственной деятельности, потерю программ или данных в Ваших информационных системах или иным образом, возникшие в связи с доступом, использованием или невозможностью использования Сайта, Содержимого или какого-либо связанного интернет-сайта, или неработоспособностью, ошибкой, упущением, перебоем, дефектом, простоем в работе или задержкой в передаче, компьютерным вирусом или системным сбоем, даже если администрация будет явно поставлена в известность о возможности такого ущерба.

Используя данный Сайт, Вы выражаете свое согласие с «Отказом от ответственности» и установленными Правилами и принимаете всю ответственность, которая может быть на Вас возложена. А так же Вы можете ознакомиться с полной версией данного «отказа от ответственности» и нашей «политики конфиденциальности» по следующей ссылке.

Цель данного раздела сайта

Основной задачей закрытого раздела сайта, является сбор (парсинг) и сохраниение в базе данных наиболее интересных и качественных материалов из разнообразных источников. Более подробней можно ознакомиться по ссылке.

Если вам понравились материалы сайта, вы можете поддержать проект финансово, переведя некоторую сумму с банковской карты, счёта мобильного телефона или из кошелька ЮMoney.

Источник: rucore.net