Федеральне відомство з інформаційної безпеки Німеччини (BSI) оголосило червоний рівень попередження з кібербезпеки. Причиною є критична вразливість у широко використовуваній бібліотеці Java Log4j, яку BSI вважає серйозною загрозою.
Версійно-залежна уразливість в Log4j
Log4j - це популярна та широко використовувана бібліотека логування для Java додатків, яка використовується для агрегування даних логів в додатку.
Виявлена 9 грудня уразливість в Log4j впливає на версії від 2.0 до 2.14.1 і виправлена починаючи з версії 2.15. Згідно з підтвердженням концепції (PoC), також опублікованим на GitHub 9 грудня, вразливість дозволяє зловмисникам виконувати власний код на цільових системах і просто паралізувати окремі додатки та цілі сервери.
Потенційні ризики в Log4j
Критична вразливість може бути використана не лише для встановлення додаткового шкідливого програмного забезпечення, але й для зчитування конфіденційних даних. Для цього навіть не потрібне зовнішнє шкідливе ПЗ, достатньо простого запиту. Таким чином, дана критична уразливість потенційно впливає на всі Java-додатки, доступні з Інтернету, які працюють з Log4j.
Вже існують численні приклади скриптів, які випадковим чином перевіряють системи на вразливість. Також з'являється все більше свідчень про спроби використання уразливості через ботнети.
Ми відреагували
Наші системні оператори негайно відреагували і застосували необхідні патчі безпеки до уражених систем, оновили Elasticsearch та видалили невикористовувані екземпляри Elasticsearch. Крім того, всі файлові системи на наших серверах було перевірено на наявність ключового слова "Log4js", щоб виявити інші місця, де використовується вразлива бібліотека логування. Оскільки поточна уразливість зачіпає лише Java-додатки, перевіряти PHP-додатки не було необхідності.
Залишилися питання?
Якщо у вас виникли питання про Log4j, безпеку вашої системи або інші теми, будь ласка, звертайтеся до нас в будь-який час.
Залиште нам відгук