13/12/21
Организация Apache Software Foundation выпустила экстренное обновление безопасности, исправляющее уязвимость удаленного выполнения кода ( CVE-2021-44228 ) в библиотеке Java Log4j. Библиотека обеспечивает возможности ведения журналов.
Уязвимость, получившая название Log4Shell , может быть использована путем принуждения приложений и серверов на основе Java с библиотекой Log4j к регистрации определенной строки в своих внутренних системах. Когда приложение или сервер обрабатывают журналы, данная строка может заставить уязвимую систему загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником. Таким образом хакеры могут перехватить контроль над приложением или сервером.
Уязвимость Log4Shell получила максимальную оценку в 10 баллов по шкале CVSSv3, поскольку ее можно использовать удаленно, и для выполнения кода не требуется особых технических навыков. Критическая опасность связана с повсеместным присутствием Log4j почти во всех основных корпоративных приложениях и серверах на базе Java. Например, Log4j включена почти во все корпоративные продукты, выпущенные Apache Software Foundation, такие как Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и пр. Другие проекты с открытым исходным кодом (Redis, ElasticSearch, Elastic Logstash, Ghidra от АНБ) также используют библиотеку в той или иной мере.
CVE-2021-44228 затрагивает версии log4j между 2.0-beta-9 и 2.14.1. Проблема отсутствует в версии log4j 1 и исправлена в версии 2.15.0.
По словам экспертов из компании LunaSec, серверы Apple, Amazon, Twitter, Steam, Tencent, Baidu, DIDI, JD, NetEase и, возможно, тысячи других компаний подвержены данной уязвимости.
Как сообщил китайский исследователь в области кибербезопасности, использующий псевдоним p0rz9 , эксплуатация CVE-2021-44228 возможна только в том случае, если для параметра log4j2.formatMsgNoLookups в конфигурации библиотеки задано значение false. В исправленной версии Log4j 2.15.0 для этого параметра установлено значение true, предотвращая атаки. Пользователи Log4j, которые обновились до версии 2.15.0, но затем установили для этого флага значение false, останутся уязвимыми к атакам. Точно так же пользователи старой версии Log4j с установленным флагом в значении true могут блокировать атаки.
По словам ИБ-экспертов, злоумышленники уже сканируют Сеть на предмет приложений, которые могут быть уязвимы к атакам Log4Shell.
