ESET, despre vulnerabilitatea Log4Shell: Ce ştim până acum şi lista celor mai atacate ţări
0Tocmai în prag de sărbători, o vulnerabilitate critică dintr-o bibliotecă de cod Apache numită Log4j 2 a venit să bată la uşă, scrie Rene Holt pe blogul ESET.
Log4j este o bibliotecă de jurnalizare open-source bazată pe Java, care este utilizată pe scară largă de multe produse, servicii şi componente Java. Nu este de mirare că vulnerabilitatea, care a obţinut un punctaj perfect de 10 pe scara CVSS şi pune nenumărate servere în pericol de preluare completă, a trimis unde de şoc mult dincolo de industria securităţii cibernetice.
Într-adevăr, cu codul de exploatare (demonstrat fucţional) deja disponibil online, asistăm acum la o întrecere în masă între hackeri, care efectuează scanări generale la nivel de internet şi exploatează atât sistemele vulnerabile, apărători ai securităţii, care fac actualizări de sistem şi încep să pună în aplicare măsuri de atenuare, cât şi dezvoltatorii, care auditează aplicaţiile şi bibliotecile de cod pentru orice dependenţe care ar putea include versiuni vulnerabile ale bibliotecii log4j.
Ce este Log4Shell?
Indexat ca CVE-2021-44228, defectul este o vulnerabilitate de execuţie de cod la distanţă (RCE), care permite unui atacator să ruleze codul la alegere pe un server afectat. În scenariul în care un intrus pătrunde în reţeaua locală, chiar şi sistemele interne care nu sunt expuse internetului pot fi exploatate. Cu alte cuvinte, o vulnerabilitate RCE înseamnă că un atacator nu necesită acces fizic pentru a rula cod arbitrar, care ar putea duce la controlul complet asupra sistemelor afectate şi la furtul de date sensibile.
Cronologie
Pentru a ajuta la înţelegerea evenimentelor din jurul acestei vulnerabilităţi critice, iată o cronologie de bază:
- 26 noiembrie: ID-ul CVE pentru vulnerabilitate este rezervat.
- 1 decembrie: Prima exploatare cunoscută a vulnerabilităţii detectată în formă brută.
- 10 decembrie: ID-ul CVE este publicat şi este lansat un patch.
- 11 decembrie: La ora 14:24 CET, modulul ESET Network Attack Protection a primit o actualizare de detectare pentru a rezolva această vulnerabilitate.
Potrivit specialiştilor ESET, cele mai multe atacuri au avut loc în Satele Unite ale Americii, Marea Britanie, Turcia, Germania şi Olanda.
Detectare
ESET a lansat o detectare pentru exploatările acestei vulnerabilităţi care ar putea fi prezente atât în traficul de intrare, cât şi în cel de ieşire pe sistemele Windows. Atacatorii care încearcă să se deplaseze lateral în acest tip de sisteme vor fi astfel blocaţi. Detectarea încercărilor de exploatare a fost lansată cu următoarele nume de detectare:
- JAVA/Exploit.CVE-2021-44228
- JAVA/Exploit.CVE-2021-44228.B
Etape de atenuare
Pentru a vă proteja de exploatări rău intenţionate, este esenţial să găsiţi toate versiunile vulnerabile ale bibliotecii. Începeţi prin a face o listă prioritizată de sisteme prin care să căutaţi, evaluându-le unul câte unul pe măsură ce parcurgeţi lista. Partea dificilă poate fi identificarea versiunilor vulnerabile existente în arhivele Java Archive (JAR) ca dependenţe tranzitive.
Sfaturile tehnice ESET adresate clienţilor, dedicate Log4j2, sunt disponibile aici.