Damian Szewczyk
W ostatnich dniach wykryto krytyczną podatność CVE-2021-44228 w jednej z najczęściej używanych bibliotek loggingu Apache Log4j. Podatność pozwala na zdalne wykonanie kodu. Wiele firm opiera swoje aplikacje (nie tylko webowe) o Javę i wykorzystuje bibliotekę Log4j. Właśnie dlatego, z uwagi na jej popularność wielu użytkowników ogarnął chaos, spowodowany niepokojem o bezpieczeństwo ciągłości działania aplikacji i przechowywane dane.
Jako fachowi Administratorzy informujemy, że jesteśmy na bieżąco i środowisko każdego z naszych Klientów na życzenie dokładnie sprawdzamy. Jednak jeśli nie słyszałeś o awarii, koniecznie przeczytaj, czego dotyczy problem i jak chronić swoją organizację przed wyciekiem danych.
Apache log4j umożliwia zapisanie logów aplikacji. W przypadku jego wykorzystywania dostęp do Twoich danych jest na wyciągnięcie ręki. Do prób ataków może dojść za pomocą wysłania określonego ciągu znaków do aplikacji wykorzystującej wskazaną bibliotekę. Przesłanie komunikatu może być w różnych formach, niezależnie od miejsca ich wstrzyknięcia.
Dodatkowo prawdopodobieństwo wystąpienia zagrożenia związanego z podatnością systemu występuje w wersji biblioteki od 2.0 do 2.14.1.
Podatności na różnego rodzaje awarię są nieodłącznym elementem dzisiejszego świata. Jednak każdej z nich należy się przyjrzeć i odpowiednio zaadresować.
W przypadku bibliotek do logowania zdarzeń Apache Log4j w pierwszej kolejności należy sprawdzić, czy podana biblioteka nie znajduje się w naszym stosie technologicznym. Jak to zrobić?
W obrębie serwera szukamy biblioteki pod nazwą:
log4jJeśli wykryjemy tą podatność, należy wykonać backup danych, a następnie odpowiednio zaktualizować ścieżki, które wykluczą powyższy kod.
Należy również przed wprowadzaniem ostatecznych zmian przetestować środowisko, zwłaszcza aplikacje napisane w języku Java.
Warto także śledzić dokumentację zamieszczoną pod poniższym linkiem: https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
Jednak, jeśli zdecydujemy się nadal używać Apache Log4j, należy zaktualizować bibliotekę do wersji 2.16.0.
Dodatkowo monitorowanie ruchu wejściowego do serwera jest nieodłącznym elementem zadbania o jego bezpieczeństwo w tej sytuacji.
Należy zaznaczyć, że używanie Log4j nie jest równoznaczne z przejęciem kontroli nad aplikacją bądź kradzieżą danych. Jednak prawdopodobieństwo takiego zdarzenia może być bardzo duże.
Pomocnym w wykrywaniu prób ataku jest WAF (Web application firewall). Samo wdrożenie i utrzymanie zapory aplikacji może być skomplikowane. Dlatego jeśli potrzebujesz pomocy, skontaktuj się z nami. Administratorzy Qlos na porządku dziennym wprowadzają tego typu rozwiązania, szczególnie za pomocą CloudFlare.
Wartym zapoznania się artykułem są również informacje przekazane przez CERT.PL
Uwaga! W dniu 15.12.2021 wykryto nową podatność w bibliotece w wersji 2.15.0. Umożliwia ona atak odmowy dostępu w specyficznej konfiguracji. Rekomendowaną wersją aktualizacji biblioteki Log4j jest 2.16.0.
