Pojawiła się krytyczna podatność w popularnej bibliotece javowej Apache Log4j, służącej do logowania zdarzeń i wykorzystywanej w wielu usługach, przede wszystkim serwerowych.
Luka pozwala napastnikowi na wykonanie dowolnego kodu na serwerze z uprawnieniami, z którymi działa podatna aplikacja i nie wymaga posiadania konta w usłudze (uruchamiany kod zostaje przekazany jako część danych, które biblioteka zapisuje do plików logu – na przykład jako fragment żądania HTTP). Podatna jest biblioteka log4j w wersjach od 2.x do 2.14.1 i dopiero wersja 2.15.0 łata podatność.
W przypadku systemów z rodziny Unix/Linux fakt korzystania z biblioteki log4j można sprawdzić, wyszukując plików zawierających w nazwie log4j-core – np. tak:
$ find . -iname '*log4j-core*’
następnie należy zweryfikować wersję biblioteki. Można również sprawdzić, czy zarządzane usługi są podatne pod poniższymi odnośnikami:
- https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 (zawiera listę linków, zwykle do stron producentów, pod którymi można znaleźć informację, czy dany produkt jest podatny, czy nie)
- https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/ – zawiera kilka list odnośników do oprogramowania, pogrupowanych pod kątem istnienia lub nie opisywanej podatności
Lista aplikacji wymagających uwagi jest bardzo długa, dlatego zalecamy Administratorom własnoręczną weryfikację zarządzanych usług.
Uaktualnienia opublikowano już m.in. dla Apache Solr, logstash, RedHat; podatne są m.in. Apache Struts, neo4j, w pewnych okolicznościach podatne być mogą np. produkty F-Secure, VMWare, Atlassiana.
Skrót informacji w języku polskim:
- https://cert.pl/posts/2021/12/krytyczna-podatnosc-w-bibliotece-apache-log4j/
- https://sekurak.pl/krytyczna-podatnosc-w-log4j-co-wiemy-jak-wygladaja-ataki-jak-sie-chronic-cve-2021-44228-rce/
Zwracamy szczególną uwagę na konieczność regularnych aktualizacji oprogramowania systemowego i użytkowego, co pozwoli uchronić się przed znanymi podatnościami bezpieczeństwa, często używanymi w masowych atakach.