среда, 15 декабря 2021 г.

Спите? А ваши денежки утекают!

 

Мы уже привыкли к сообщениям об очередной атаке на ИТ-инфраструктуру – вирусы, шифровальщики и прочая напасть. Возможно, даже перестали обращать внимание на такие сообщения – «пока гром не грянет», как говорится. Но, вдруг...

Впрочем, по порядку. Вы уже слышали о уязвимости в утилите журналирования Log4j (CVE-2021-44228 )? Нет? А зря! По словам главы отделов исследований компаний McAfee Enterprise и FireEye Стива Повольного (Steve Povolny), уязвимость, получившая название Log4Shell, теперь встала в один ряд с такими долгожителями, как Shellshock, Heartbleed и EternalBlue. ИБ-эксперты считают, что Log4j останется с нами надолго, и на ее исправление уйдут многие месяцы, если не годы. По словам Повольного, «из-за огромного количества наблюдаемых в настоящее время атак, использующих данную уязвимость, можно предположить, что многие организации уже взломаны. Злоумышленники уже эксплуатируют эту уязвимость для установки криптомайнеров и установки Cobalt Strike, что прокладывает путь к дальнейшим атакам, в том числе с целью похищения конфиденциальной информации».

К примеру, ИБ-компания Check Point заблокировала 846 тыс. сканирований на предмет наличия уязвимости в сетях своих клиентов. Порядка 40% корпоративных сетей по всему миру уже были атакованы злоумышленниками в попытке проэксплуатировать Log4Shell. Как сообщили в Check Point, каждую минуту специалисты фиксировали 100 попыток эксплуатации уязвимости. Известные киберпреступные группировки ответственны за 46% попыток эксплуатации уязвимости в сетях клиентов компании.

Специалисты Sophos зафиксировали «сотни тысяч» попыток эксплуатации уязвимости. Во многих случаях это сканирования в поисках уязвимых установок, тестирование эксплоитов и попытки установить криптомайнеры. Исследователи также обнаружили атаки с целью извлечения ключей шифрования и другой чувствительной информации из облачных сервисов, включая Amazon Web Services (AWS).

Новые варианты оригинального эксплоита, впервые опубликованного на GitHub, появляются со стремительной скоростью. Всего за сутки исследователи Check Point зафиксировали около 60 доступных эксплоитов. Теперь Log4Shell можно проэксплуатировать несколькими способами, в том числе через HTTP и HTTPS. Другими словами, одного уровня защиты для обеспечения безопасности недостаточно. (Источник: Positive Technologies).

 

Справка: Log4j — библиотека журналирования (логирования) Java-программ, часть общего проекта «Apache Logging Project». Эта библиотека используется миллионами Java-приложений для регистрации сообщений об ошибках. Библиотека используется в разработках многих крупнейших производителей ПО, в том числе Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla и Twitter. Из-за настолько широкой распространенности библиотеки, исследователи ожидают увеличение количества атак на уязвимые серверы в течении следующих нескольких дней.

Как проверить уязвимы ли ваши ИТ-среды? На GitHub уже есть сканер на основе YARA-правила. Он сканирует память процессов Java на наличие сигнатур библиотеки Log4j. При этом сканирование идет не снаружи, а изнутри — то есть не из сети, а прямо на хосте. На выходе вы получите перечень хостов, на которых есть приложения с Log4j, и сможете проверить версию библиотеки.

 А как же поведут себя средства защиты от ИТ-атак в этой ситуации? Из интервью с Avi Lamay ( CTO of Deceptive Bytes  ):

Уязвима ли платформа Deceptive Bytes при этих атаках?

Нет. Платформа Deceptive Bytes не использует Java в любой форме, поэтому она не уязвима.

Но платформа Deceptive Bytes использует Apache...

Решение Deceptive Bytes использует HTTP-сервер Apache как часть консоли управления своей платформой, однако наше решение не связано с Log4J и не использует его, поскольку написано на C, а не на Java.

Защищает ли агент Deceptive Bytes от уязвимости Log4Shell?

Хотя мы еще не полностью протестировали, результаты уже проведенных тестов показывают, что агент способен предотвращать большинство (пока рано говорить «все атаки»), исходящие из этой уязвимости.

Что вы можете порекомендовать пользователям?

Хотя агент Deceptive Bytes может защитить «конечные точки» от атак, для эффективной защиты от Log4Shell необходима установка наиболее свежей версии библиотеки, 2.15.0.

Если это по каким-то причинам невозможно, то в случае с версиями библиотеки от 2.10 до 2.14.1 Apache Foundation рекомендует установить системное свойство log4j2.formatMsgNoLookups, или же присвоить переменной окружения LOG4J_FORMAT_MSG_NO_LOOKUPS значение true.

Для защиты более ранних релизов Log4j (от 2.0-beta9 до 2.10.0) разработчики библиотеки рекомендуют убрать класс JndiLookup из classpath: zip -q -d log4j-core-*.jar