Zraniteľnosť Log4j aktívne zneužívaná útočníkmi, zasiahnuté sú milióny aplikácií

Singel-post cover image

Knižnica Apache Log4j sa používa na analýzu logov webových serverov a je masovo používaná po celom svete. Koncom minulého týždňa bol publikovaný proof-of-concept exploit pre zraniteľnosť  CVE-2021-44228, ktorý bol pomenovaný ako „Log4Shell“.

Konajte okamžite

Bez zbytočného odkladu je potrebné, aby ste aktualizovali Log4j na verziu Log4j 2.15.0. Zneužitie tejto zraniteľnosti je triviálne a útočníci práve teraz masovo skenujú potenciálne obete na prítomnosť tejto zraniteľnosti a pokúšajú sa ju zneužiť.

Zneužitie tejto zraniteľnosti umožňuje neautentifikovanému útočníkovi spúšťať vzdialený kód (Remote Code Execution - RCE). Jednoduchosť jej zneužitia a závažnosť dopadov boli dôvody na pridelenie CVSSv3 skóre 10/10.

Dôležité je tiež vykonať skenovanie na prítomnosť tejto zraniteľnosti vo vašej infraštruktúre a patchovať všetky inštancie Log4j.

Čo ak nemôžem aplikovať záplatu

V prípade, ak používate staršie verzie Java, konkrétne Java 6 alebo 7, nebudete môcť aplikovať Log4j verziu 2.15.0. Tá totiž funguje len v prípade ak je Log4j spárovaný s Java 8. V tomto prípade, alebo pokiaľ z iných objektívnych dôvodov nemôžete patchovať, bude potrebné nasadiť dočasné kompenzačné opatrenia.

Kompenzačné opatrenia

Pokiaľ z nejakých dôvodov nemôžte používať zaplátanú verziu Log4j 2.15.0 spolu s Java 8, budete musieť aplikovať (a pri každom reštarte znovu aplikovať) dočasný workaround, ktorý spočíva v zmene konfiguračných súborov:

  • Pre verzie Log4j 2.10 a vyššie je potrebné nastaviť systémové nastavenie log4j2.formatMsgNoLookups na true
  • Pre verziu Log4j 2.10 je tiež potrebné nastaviť premennú LOG4J_FORMAT_MSG_NO_LOOKUPS tiež na true
  • Pre verziu 2.0-beta9 až po 2.10.0 je potrebné odstrániť JndiLookup.class z class path: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Alternatívne je možné v prípade, že používate web aplikačný firewall blokovať requesty, ktoré obsahujú “${jndi:ldap://” alebo izolovať dotknuté systémy od okolia.

Indikátory kompromitácie (IOCs)

nazi.uy # Mirai botnet C2 
log.exposedbotnets.ru # Tsunami botnet C2 
194.59.165.21:8080 # Tsunami botnet C2 
195.133.40.15:25565 # Mirai botnet C2 
185.154.53.140:80 # Kinsing botnet C2 
138.197.206.223:80 # Kinsing payload delivery server 
18.228.7.109:80 # Kinsing payload delivery server 
82.118.18.201:80 # Kinsing payload delivery server 
92.242.40.21:80 # Kinsing payload delivery server 
185.191.32.198:80 # Kinsing payload delivery server 
80.71.158.12:80 # Kinsing payload delivery server 
185.191.32.198:80 # Kinsing payload delivery server 
45.137.155.55:80 # Kinsing payload delivery server 
185.191.32.198:80 # Kinsing payload delivery server 
45.137.155.55:80 # Kinsing payload delivery server 
62.210.130.250:80 # Mirai payload delivery server 
http://210.141.105.67/wp-content/themes/twentythirteen/m8 # Kinsing payload URL 
http://159.89.182.117/wp-content/themes/twentyseventeen/ldm # Kinsing payload URL 
45.130.229.168:1389 # Rogue LDAP server 
82.118.18.201:1534 # Rogue LDAP server 
45.130.229.168:1389 # Rogue LDAP server 
185.250.148.157:1389 # Rogue LDAP server 
92.242.40.21:5557 # Rogue LDAP server 
205.185.115.217:47324 # Rogue LDAP server 
163.172.157.143:1389 # Rogue LDAP server 
45.155.205.233:12344 # Rogue LDAP server 

Užitočné odkazy

Bezpečnostné odporúčania jednotlivých vendorov v súvislosti s Log4Shell exploitom:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Automatizovaný skener pre Log4j:
https://github.com/fullhunt/log4j-scan