Log4Shell: наступление продолжается
Как и предполагалось, ажиотаж вокруг уязвимой библиотеки Apache Log4j активно набирает обороты. Чуть ли не каждый день появляется информация о том, что найденную уязвимость взяла на вооружение очередная вредоносная программа. Фигурируют даже такие, о которых давно не было слышно. В частности, упоминаются вымогатели Conti, Khonsari, TellYouThePass, ботнет Mirai, Tsunami и Muhstik, трояны StealthLoader, Dridex.
С применением рекомендаций по обновлению уязвимого ПО у многих пользователей и компаний возникают трудности. Это может быть связано с нехваткой кадров или с наличием сложных зависимостей с уязвимым приложением в системе компании, из-за которых требуется тщательное планирование процесса обновления и т.д. В следствие этого множество приложений остается лазейками для злоумышленников долгое время. Кроме того, ситуация осложняется и обостряется периодическим появлением информации об очередных недостатках уже выпущенных обновлений, которые почти сводят на нет исправления в предложенных патчах.
Первоначально речь шла об уязвимости CVE-2021-44228 со степенью опасности CVSS 10/10. Она затрагивает версии библиотеки c 2.0-beta9 по 2.12.1 и с 2.13.0 по 2.14.0 и позволяет злоумышленнику, который может управлять сообщениями журнала или параметрами сообщений журнала, выполнить произвольный код, загруженный с удаленной машины, на целевом хосте. Проблема заключается в функции Lookup библиотеки, которая, в частности, может использоваться для выполнения запросов с удаленного сервера LDAP через JNDI API. В связи с чем была выпущена обновленная версия Log4j – 2.15.0 – в которой эта функция отключена по умолчанию. Однако позже появилась информация о несостоятельности обновления и, в связи с этим, новой уязвимости CVE-2021-45046 с CVSS 9/10, которая может привести к утечке данных, удаленному выполнению кода и выполнению локального кода в среде. Уязвимость устранена в версиях Log4j 2.16.0 (Java 8) и 2.12.2 (Java 7).
Новые исследования обнаружили очередную брешь в библиотеке, которой был присвоен идентификатор CVE-2021-45105, CVSS 7,5/10. На этот раз источником проблемы стала конфигурация ведения журнала с нестандартным макетом шаблона с поиском контекста. При этом подставляемые злоумышленником вредоносные входные данные приводят к реализации атаки DoS (отказ в обслуживании). На текущий момент полностью исправленной считается версия библиотеки 2.17.0.
«В данной ситуации очень важно внимательно следить за актуальными новостями и информацией на официальном сайте разработчика. Такой мониторинг поможет не упустить значимые события, связанные с активно эксплуатируемой уязвимой библиотекой, в том числе свежие обновления и рекомендации по смягчению последствий уязвимости», — заключает Татьяна Лынова, аналитик группы оперативного мониторинга Angara SOC.