Log4j zranitelnost a hrozba její exploitace
11.12.2021
Log4j zranitelnost a hrozba její exploitace

​Aktualizováno 13. 12. 2021.

Pokládáme za nutné Vás informovat o nové kritické zranitelnosti nazvané Log4j s označením CVE-2021-44228 a hodnocením CVSSv3.1 10. Tato zdanitelnost je vázána i na ostatní produkty využívající prostředí Java. ​Jedná se o RCE (Remote Code Execution) zranitelnost, kterou může neautentizovaný útočník vzdáleně zneužít zasláním speciálně upraveného požadavku na server, na kterém zranitelná verze tohoto softwaru běží.

Útočníci již aktivně skenují prostředí internetu za účelem detekce této zranitelnosti. Na GitHub jsou již dostupné Proof-of-Concept exploity. Někteří z našich zákazníků již ohlásili bezpečnostní události spojené s exploitací této zranitelnosti.

Doporučujeme urychleně aktualizovat produkt na novější verzi, ve které je již aplikována záplata, viz níže.​

Aktuálně dochází k rozsáhlému zneužívání této zranitelnosti. Útočníci již aktivně skenují prostředí internetu za účelem detekce této zranitelnosti. Na GitHub jsou již dostupné Proof-of-Concept exploity. Někteří z našich zákazníků již ohlásili bezpečnostní události spojené s exploitací této zranitelnosti. Cloudflare zaznamenává veliký počet dotazů nesoucí data využívající zranitelnost.


Technické detaily

CVSSv3.1 skóre10
Attack Vector (AV)Network
Attack Complexity (AC)Low
Privileges Required (PR)None
User Interaction (UI)None
Scope (S)Changed
Confidentiality (C)High
Integrity (I)High
Availability (A)High


Řešením je aktualizovat Apache Log4j na verzi 2.15.0, která byla vydána 10. 12. 2021. Tato verze však vyžaduje Java 8, proto pokud používáte starší verzi, je nejprve nutné updatovat Javu. Pokud není možné okamžitě patchovat, jsou dostupné další kroky mitigace zranitelnosti:

Mitigace Verze​
Set log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups to trueLog4j 2.10 a vyšší
Use %m{nolookups} in the PatternLayout configurationLog4j 2.7 a vyšší
Remove JdniLookup and JdniManager classes from log4j-core.jarVšechny verze Log4j 2

Jako kritické považujeme aplikovat mitigaci na VMware, kde je zatím známý workaround.
https://www.vmware.com/security/advisories/VMSA-2021-0028.html

Zranitelnost můžete na svých systémech detekovat pomocí již vydaných pluginů Tenable. Nejprve se ujistěte, že máte aktuální Tenable.sc Feed i Active Plugins Feed (z 11. 12. 2021 17:00 a starší), případně proveďte manuální update. Následně budete mít k dispozici prozatím pět pluginů pro detekci uvedené zranitelnosti, všechny obsažené v politice „Log4Shell“. Tato politika je dostupná ve všech produktech Tenable (Nessus Pro, Tenable.io, Tenable.sc).

Vzhledem k tomu, že se jedná o zranitelnost zneužitelnou vzdáleně, doporučujeme provést sken alespoň internet-facing systémů.

V případě dotazů nebo požadavku na vytvoření skenu nás prosím kontaktuje prostřednictvím support systému AEC JIRA na stránkách https://support.aec.cz/​.

Reference:

https://www.tenable.com/blog/cve-2021-44228-proof-of-concept-for-critical-apache-log4j-remote-code-execution-vulnerability​
https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/​
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
https://nvd.nist.gov/vuln/detail/CVE-2021-44228​