Knižnica Apache Log4j sa používa na analýzu logov webových serverov a je masovo používaná po celom svete. Koncom minulého týždňa bol publikovaný proof-of-concept exploit pre zraniteľnosť CVE-2021-44228, ktorý bol pomenovaný ako „Log4Shell“.
Konajte okamžite
Bez zbytočného odkladu je potrebné, aby ste aktualizovali Log4j na verziu Log4j 2.15.0. Zneužitie tejto zraniteľnosti je triviálne a útočníci práve teraz masovo skenujú potenciálne obete na prítomnosť tejto zraniteľnosti a pokúšajú sa ju zneužiť.
Zneužitie tejto zraniteľnosti umožňuje neautentifikovanému útočníkovi spúšťať vzdialený kód (Remote Code Execution - RCE). Jednoduchosť jej zneužitia a závažnosť dopadov boli dôvody na pridelenie CVSSv3 skóre 10/10.
Dôležité je tiež vykonať skenovanie na prítomnosť tejto zraniteľnosti vo vašej infraštruktúre a patchovať všetky inštancie Log4j.
Čo ak nemôžem aplikovať záplatu
V prípade, ak používate staršie verzie Java, konkrétne Java 6 alebo 7, nebudete môcť aplikovať Log4j verziu 2.15.0. Tá totiž funguje len v prípade ak je Log4j spárovaný s Java 8. V tomto prípade, alebo pokiaľ z iných objektívnych dôvodov nemôžete patchovať, bude potrebné nasadiť dočasné kompenzačné opatrenia.
Kompenzačné opatrenia
Pokiaľ z nejakých dôvodov nemôžte používať zaplátanú verziu Log4j 2.15.0 spolu s Java 8, budete musieť aplikovať (a pri každom reštarte znovu aplikovať) dočasný workaround, ktorý spočíva v zmene konfiguračných súborov:
- Pre verzie Log4j 2.10 a vyššie je potrebné nastaviť systémové nastavenie
log4j2.formatMsgNoLookupsnatrue - Pre verziu Log4j 2.10 je tiež potrebné nastaviť premennú
LOG4J_FORMAT_MSG_NO_LOOKUPStiež natrue - Pre verziu 2.0-beta9 až po 2.10.0 je potrebné odstrániť JndiLookup.class z class path:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Alternatívne je možné v prípade, že používate web aplikačný firewall blokovať requesty, ktoré obsahujú “${jndi:ldap://” alebo izolovať dotknuté systémy od okolia.
Indikátory kompromitácie (IOCs)
nazi.uy # Mirai botnet C2
log.exposedbotnets.ru # Tsunami botnet C2
194.59.165.21:8080 # Tsunami botnet C2
195.133.40.15:25565 # Mirai botnet C2
185.154.53.140:80 # Kinsing botnet C2
138.197.206.223:80 # Kinsing payload delivery server
18.228.7.109:80 # Kinsing payload delivery server
82.118.18.201:80 # Kinsing payload delivery server
92.242.40.21:80 # Kinsing payload delivery server
185.191.32.198:80 # Kinsing payload delivery server
80.71.158.12:80 # Kinsing payload delivery server
185.191.32.198:80 # Kinsing payload delivery server
45.137.155.55:80 # Kinsing payload delivery server
185.191.32.198:80 # Kinsing payload delivery server
45.137.155.55:80 # Kinsing payload delivery server
62.210.130.250:80 # Mirai payload delivery server
http://210.141.105.67/wp-content/themes/twentythirteen/m8 # Kinsing payload URL
http://159.89.182.117/wp-content/themes/twentyseventeen/ldm # Kinsing payload URL
45.130.229.168:1389 # Rogue LDAP server
82.118.18.201:1534 # Rogue LDAP server
45.130.229.168:1389 # Rogue LDAP server
185.250.148.157:1389 # Rogue LDAP server
92.242.40.21:5557 # Rogue LDAP server
205.185.115.217:47324 # Rogue LDAP server
163.172.157.143:1389 # Rogue LDAP server
45.155.205.233:12344 # Rogue LDAP server
Užitočné odkazy
Bezpečnostné odporúčania jednotlivých vendorov v súvislosti s Log4Shell exploitom:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Automatizovaný skener pre Log4j:
https://github.com/fullhunt/log4j-scan