Разкрита е критична уязвимост в библиотеката Java Log4j (CVE-2021-44228 или „Log4shell“), последиците от която са сериозни и трудни за митигиране.
Log4j е много популярна система за регистриране, широко използвана от разработчиците на уеб и сървърни приложения, базирани на Java и други езици за програмиране. Уязвимостта засяга голям спектър от услуги и приложения на сървърите, което я прави изключително опасна. Тя предоставя на хакерите сравнително лесен начин за дистанционен достъп до сървър на съответната организация, а оттам – до цялата мрежа.
Вече са засечени стотици хиляди опити от 9 декември 2021 г. (когато разкритието беше оповестено) насам за дистанционно изпълнение на код, използвайки тази уязвимост. Предполага се, че тя е била експлоатирана седмици преди публичното й оповестяване. Засегнати са услуги/продукти на вендори като Cisco, VMware, Apple, Cloudflare, Minecraft и много други.
Какво да направите
- Консултирайте се с разработчиците на вашите системи, за да установите дали приложенията, които използва организацията ви са написани на Java и/или част от тях разчитат на код написан на Java.
- Ако това е така, проверeте дали приложенията включват уязвима версия на библиотеката Log4j – актуализирайте я до версия 2.15.0 или по-нова.
- Уязвимостта може да бъде смекчена и в предишни версии (2.10 и по-нови) чрез задаване на стойност „true“ на „log4j2.formatMsgNoLookups“ или премахване на класа JndiLookup от указания път.
- Ако използвате засегнато приложение на трета страна, уверете се, че поддържате продукта актуализиран до най-новата версия.
Подробна информация и насоки по темата можете да откриете ТУК.
-
-
-
-
-
