Как защититься от уязвимости Log4Shell (CVE-2021-44228)

9 декабря 2021 года в модуле Apache Log4j найдена уязвимость, которой присвоен самый высокий уровень опасности — CVSS 10. Она уже получила название Log4Shell. Уязвимость позволяет удалённо выполнять произвольный код и даёт возможность злоумышленникам получить практически полный контроль над серверами жертвы.

Учитывая, насколько широко распространён этот модуль, под угрозой оказались миллионы сервисов на Java.

Но если вы подключены к нашей защите приложений, то вам не о чем беспокоиться. Мы уже приняли все меры, чтобы защитить наших клиентов.

В чём суть новой уязвимости и чем она так опасна

Log4Shell или CVE-2021-44228, — уязвимость, относящаяся к Remote Code Execution (RCE), то есть она позволяет удалённо выполнить произвольный код на сервере без аутентификации.

Под угрозой оказываются все сервисы и API на Java, которые используют журнал логов Log4j. Этот журнал крайне популярен, поэтому потенциальные жертвы исчисляются миллионами.

Главная проблема уязвимости в том, что она достаточно проста в использовании — успешно провести атаку может даже не слишком опытный хакер.

Чтобы получить доступ к ресурсу, злоумышленнику нужно всего лишь послать специальный запрос. С его помощью хакеру удаётся подгрузить свой собственный код в приложение или API.

Как EdgeЦентр защищает своих клиентов от новой уязвимости

Для защиты своего ресурса вы можете включить Базовый WAF (Web Application Firewall). Это предустановленный инструмент защиты нашей сети. Доступен на всех тарифах CDN.

Уязвимость Log4Shell была добавлена в библиотеку вредоносных сигнатур в недавнем обновлении.

Весь трафик мы пропускаем через систему фильтрации. Любой подозрительный запрос, в том числе с использованием уязвимости Log4Shell, будет заблокирован ещё на подходе.

Мы не позволим злоумышленникам запустить вредоносный код и обеспечим надёжную веб-защиту ваших сайтов и приложений.

Что ещё можно сделать для защиты

В первую очередь обновите Apache Log4j до последней версии.

Если по какой-то причине нет возможности обновиться, используйте эти рекомендации.

1. В версиях 2.10 и выше можно установить системное свойство log4j2.formatMsgNoLookups или переменную среды LOG4J_FORMAT_MSG_NO_LOOKUPS в значение true.
2. В версиях с 2.7 до 2.14.1 можно изменить шаблоны PatternLayout: указать конвертер сообщений как %m{nolookups} вместо простого %m.
3. В версиях от 2.0-beta9 до 2.7 единственное решение — удалить класс JndiLookup из пути к классам: zip q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

Но самый надёжный способ обезопасить свои ресурсы — это всё-таки подключить WAF.

Мы следим за появлением новых уязвимостей и обновляем наши алгоритмы максимально быстро. Вам не нужно будет переживать за безопасность ваших ресурсов и принимать экстренные меры по их защите.