Как защититься от уязвимости Log4Shell (CVE-2021-44228)

В конце декабря этого года в модуле Apache Log4j обнаружили слабое место. Уязвимость была причисленная к классу CVSS 10 — самый высокий класс опасности. Она уже получила название Log4Shell. Уязвимость позволяет удалённо выполнять произвольный код и даёт возможность злоумышленникам получить практически полный контроль над серверами жертвы и доступ к ценной информации.

Учитывая, насколько широко распространён этот модуль, под угрозой оказались миллионы сервисов на Java по всему миру.

Но если вы подключены к нашему WAF, то вам не о чем беспокоиться. Мы уже приняли все меры, чтобы защитить наших клиентов.

В чём суть новой уязвимости и чем она так опасна

CVE-2021-44228 или Log4Shell — уязвимость, относящаяся к RCE (Remote Code Execution), то есть она позволяет удалённо выполнить любую команду на сервере без аутентификации.

Под угрозой оказываются все сервисы и API на Java, которые используют открытый журнал логов Log4j. Этот журнал крайне популярен, поэтому потенциальные жертвы исчисляются миллионами.

Главная проблема уязвимости в том, что она достаточно проста в использовании — успешно провести атаку может даже не слишком опытный хакер.

Чтобы получить доступ к ресурсу, злоумышленнику нужно всего лишь послать специальный запрос. С его помощью хакеру удаётся подгрузить свой собственный код в приложение или API.

Как EdgeЦентр защищает своих клиентов от новой уязвимости

Для защиты своего ресурса вы можете использовать наш WAF (Web Application Firewall). Это защитный экран, который не позволяет злоумышленникам использовать уязвимости веб-приложений.

Уязвимость Log4Shell была добавлена в библиотеку вредоносных сигнатур в недавнем обновлении.

Весь трафик мы пропускаем через сеть фильтрующих центров. Любой подозрительный запрос, в том числе с использованием уязвимости Log4Shell, будет заблокирован ещё на подходе.

Мы не позволим злоумышленникам запустить вредоносный код и обеспечим надёжную веб-защиту ваших сайтов и приложений.

Что ещё можно сделать для защиты

В первую очередь обновите Apache Log4j до последней версии.

Если по какой-то причине нет возможности обновиться, используйте эти рекомендации.

1. В версиях 2.10 и выше можно установить системное свойство log4j2.formatMsgNoLookups или переменную среды LOG4J_FORMAT_MSG_NO_LOOKUPS в значениеtrue.
2. В версиях с 2.7 до 2.14.1 можно изменить шаблоны PatternLayout: указать конвертер сообщений как %m{nolookups} вместо простого %m.
3. В 2.0-beta9 до 2.7 единственный возможный вариант — полностью удалить JndiLookup из маршрута к классам: zip q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

Но самый надёжный способ обезопасить свои ресурсы — это всё-таки подключить WAF.

Мы следим за появлением новых уязвимостей и обновляем наши алгоритмы максимально быстро. Вам не нужно будет переживать за безопасность ваших ресурсов и принимать экстренные меры по их защите.