Home / Digital Commerce Blog - Blackbit / Blackbit відреагував на критичну уразливість в Log4j
Повернутися до огляду |

Blackbit відреагував на критичну уразливість в Log4j

Федеральне відомство з інформаційної безпеки Німеччини (BSI) оголосило червоний рівень попередження з кібербезпеки. Причиною є критична вразливість у широко використовуваній бібліотеці Java Log4j, яку BSI вважає серйозною загрозою.

Blackbit reagiert auf kritische Schwachstelle in Log4j

Версійно-залежна уразливість в Log4j

Log4j - це популярна та широко використовувана бібліотека логування для Java додатків, яка використовується для агрегування даних логів в додатку.
Виявлена 9 грудня уразливість в Log4j впливає на версії від 2.0 до 2.14.1 і виправлена починаючи з версії 2.15. Згідно з підтвердженням концепції (PoC), також опублікованим на GitHub 9 грудня, вразливість дозволяє зловмисникам виконувати власний код на цільових системах і просто паралізувати окремі додатки та цілі сервери.

Потенційні ризики в Log4j

Критична вразливість може бути використана не лише для встановлення додаткового шкідливого програмного забезпечення, але й для зчитування конфіденційних даних. Для цього навіть не потрібне зовнішнє шкідливе ПЗ, достатньо простого запиту. Таким чином, дана критична уразливість потенційно впливає на всі Java-додатки, доступні з Інтернету, які працюють з Log4j.

Вже існують численні приклади скриптів, які випадковим чином перевіряють системи на вразливість. Також з'являється все більше свідчень про спроби використання уразливості через ботнети.

Ми відреагували

Наші системні оператори негайно відреагували і застосували необхідні патчі безпеки до уражених систем, оновили Elasticsearch та видалили невикористовувані екземпляри Elasticsearch. Крім того, всі файлові системи на наших серверах було перевірено на наявність ключового слова "Log4js", щоб виявити інші місця, де використовується вразлива бібліотека логування. Оскільки поточна уразливість зачіпає лише Java-додатки, перевіряти PHP-додатки не було необхідності.

Залишилися питання?

Якщо у вас виникли питання про Log4j, безпеку вашої системи або інші теми, будь ласка, звертайтеся до нас в будь-який час.

Залиште нам відгук