Krytyczna podatność w bibliotece Apache Log4j
Home / Aktualności / Krytyczna podatność w bibliotece Apache Log4j

Krytyczna podatność w bibliotece Apache Log4j

15/12/2021
Podziel się

W bibliotece Apache Log4j, jednej z najczęściej używanych do logowania zdarzeń wykorzystywanych przez aplikacje napisane w języku Java, znaleziono krytyczne podatności pozwalające na zdalne wykonanie kodu z uprawnieniami danej aplikacji.

Podatności te, oznaczone jako CVE-2021-44228 oraz CVE-2021-45046, dotyczą powszechnie stosowanego komponentu (biblioteki Log4j 2). Jest on odpowiedzialny za procesy utrwalania zdarzeń w dziennikach aplikacji implementowanych w języku Java oraz wielu rozwiązaniach typu „middleware” bazujących na tym języku.

Co więcej, komponent ten może być używany w sposób niejawny, tj. aplikacja może nie posiadać żadnych bezpośrednich powiązań z komponentem, a faktyczne jego wykorzystanie występuje w oprogramowaniu „middleware”, na jakim aplikacja jest osadzana (serwery aplikacyjne, kontenery serwletów, rozwiązania ESB itp.).

Zwracamy szczególną uwagę na prostotę metod realizacji ataku, oraz pojawienie się gotowych, publicznie dostępnych przykładów kodu realizujących tego rodzaju atak (ang. exploit).

Polecamy zachowanie szczególnej ostrożności i wykonanie odpowiednich procedur w obszarze zarządzania bezpieczeństwem systemów informatycznych.

Procedury zapobiegawcze

Wektor ataku posiada bardzo charakterystyczną sygnaturę tekstową, którą łatwo wykryć w dziennikach aplikacyjnych oraz żądaniach wysyłanych do aplikacji. Możliwe metody postępowania w tej sytuacji to m.in.:

  • obserwacja logów aplikacyjnych w poszukiwaniu sygnatur ataku (narzędzia SIEM);
  • obserwacja i blokowanie wywołań zawierających sygnatury ataku (http/rest/ws);
  • obserwacja i blokowanie wychodzących połączeń TCP kierowanych do publicznie dostępnych usług LDAP (należy sugerować się zawartością strumienia TCP).

Zalecane postępowanie

  • Audyt posiadanego oprogramowania (łącznie z rozwiązaniami „middleware”), używającego wersji komponentu Log4j 2 wskazanych w podatnościach.
  • Identyfikacja wykorzystania podatnego komponentu i podniesienie jego wersji do bezpiecznej.

Odnośniki

W razie dodatkowych pytań zapraszamy do skorzystania z naszych usług konsultacyjnych. Skontaktuj się z nami

Zobacz również
Autor

Linux Polska

Linux® Polska – jesteśmy polską spółką IT, której misją jest wspieranie klientów w pokonywaniu barier technologicznych i transformacji IT. Koncentrujemy się na innowacyjności, rozwoju kompetencji własnych oraz transferze wiedzy do zespołów klienta. Projektujemy i tworzymy rozwiązania open source w obszarach: migracja do open source, konteneryzacja aplikacji, hybrid cloud, DevOps, bazy danych, middleware, automatyzacja. Prowadzimy działalność badawczo-rozwojową i rozwijamy produkty własne w obszarze data science. W zakresie naszej aktywności znajdują się usługi konsultingowe, wdrożeniowe i utrzymaniowe w wymienionych dziedzinach. Współpracujemy ze światowymi liderami IT takimi jak: Red Hat, IBM, EnterpriseDB, Splunk, Docker, Hortonworks (Cloudera), DXC Technology, Microsoft, Puppet, Suse, Oracle, DataStax, Zabbix czy Canonical. Uzupełnieniem naszej działalności są szkolenia i warsztaty techniczne – zarówno autoryzowane, jak i autorskie. Zespół posiada ponad 500 indywidualnych certyfikacji.

Podziel się

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

    Skontaktuj się z nami