Компания ESET сообщила о сотнях тысяч попыток использования уязвимости в Log4j. Наибольшее количество было зафиксировано в США, Великобритании, Турции, Германии и Нидерландах.

«Количество попыток подтверждает, что эта масштабная проблема не исчезнет в ближайшее время. Конечно, злоумышленники тестируют многие варианты эксплойтов, но не все попытки обязательно злонамерены. Некоторые могут быть безопасными, учитывая, что исследователи и компании с информационной безопасности также тестируют эксплойты на практике в целях защиты», — рассказывает Роман Ковач, директор по исследованиям компании ESET.

Стоит отметить, что Log4j – это библиотека журналов на основе Java с открытым исходным кодом, которая широко используется во многих популярных приложениях и сервисах, например, Apple, Twitter, Amazon, Google, LinkedIn.

В конце ноября 2021 года в этой библиотеке была обнаружена уязвимость Log4Shell, которая позволяет злоумышленнику запускать произвольный код на определенном сервере. При этом для запуска кода, который может привести к полному контролю над системами и кражи конфиденциальных данных, киберпреступнику не нужен даже физический доступ к ним.

Уже 01 декабря 2021 был зафиксирован первый известный эксплойт для уязвимости Log4Shell. Исправление для Log4Shell было выпущено 10 декабря 2021 года.

В связи с доступностью в Интернете кода эксплойта хакеры активно сканируют и используют уязвимые системы. С другой стороны, специалисты по информационной безопасности обновляют системы и минимизируют потенциальные риски, а разработчики проверяют программы и библиотеки кода на наличие уязвимых версий Log4j.

Что делать?

Для защиты от эксплойтов важно найти все уязвимые версии библиотеки Log4j. Начните с создания приоритетного списка систем для поиска и оценивайте все в порядке важности. Ниже представлено несколько рекомендаций, которые помогут в этом процессе.

  • Выявите Log4Shell в ваших системах (для Linux и Windows). 

Этот скрипт,  доступный на GitHub, ищет проблемный файл JndiLookup.class в любом архиве .jar.

  • Выявите попытки использования уязвимости Log4Shell в ваших журналах (для Linux).

Скрипт, также доступный по ссылке GitHub выше, ищет случаи использования Log4Shell в несжатых файлах в каталоге журналов Linux /var/log и всех его подкаталогах.

  • Зафиксируйте результаты.
  После запуска любых скриптов или инструментов обнаружения обязательно запишите результаты для создания полной документации аудита всех ваших систем. Аудит должен указать, была ли найдена Log4Shell и обнаружены в журналах попытки ее использования.

  • Используйте последнюю версию Log4j
Уязвимыми версиями Log4j 2 являются все версии с ядром log4j от 2.0-beta9 до 2.15.0. Таким образом, стоит обновить библиотеку до версии 2.16.0, которая является актуальной. Обратите внимание, что библиотеку не следует путать с log4j-api, на которую Log4Shell не влияет.

  • Блокируйте подозрительные IP-адреса.

И, наконец, подозрительные IP-адреса можно заблокировать с помощью брандмауэра или системы предотвращения вторжений.