9 декабря 2021 года в модуле Apache Log4j найдена уязвимость, которой присвоен самый высокий уровень опасности — CVSS 10. Она уже получила название Log4Shell. Уязвимость позволяет удалённо выполнять произвольный код и даёт возможность злоумышленникам получить практически полный контроль над серверами жертвы.
Учитывая, насколько широко распространён этот модуль, под угрозой оказались миллионы сервисов на Java.
Но если вы подключены к нашей защите приложений, то вам не о чем беспокоиться. Мы уже приняли все меры, чтобы защитить наших клиентов.
Log4Shell или CVE-2021-44228, — уязвимость, относящаяся к Remote Code Execution (RCE), то есть она позволяет удалённо выполнить произвольный код на сервере без аутентификации.
Под угрозой оказываются все сервисы и API на Java, которые используют журнал логов Log4j. Этот журнал крайне популярен, поэтому потенциальные жертвы исчисляются миллионами.
Главная проблема уязвимости в том, что она достаточно проста в использовании — успешно провести атаку может даже не слишком опытный хакер.
Чтобы получить доступ к ресурсу, злоумышленнику нужно всего лишь послать специальный запрос. С его помощью хакеру удаётся подгрузить свой собственный код в приложение или API.
Для защиты своего ресурса вы можете включить Базовый WAF (Web Application Firewall). Это предустановленный инструмент защиты нашей сети. Доступен на всех тарифах CDN.
Уязвимость Log4Shell была добавлена в библиотеку вредоносных сигнатур в недавнем обновлении.
Весь трафик мы пропускаем через систему фильтрации. Любой подозрительный запрос, в том числе с использованием уязвимости Log4Shell, будет заблокирован ещё на подходе.
Мы не позволим злоумышленникам запустить вредоносный код и обеспечим надёжную веб-защиту ваших сайтов и приложений.
В первую очередь обновите Apache Log4j до последней версии.
Если по какой-то причине нет возможности обновиться, используйте эти рекомендации.
log4j2.formatMsgNoLookups
или переменную среды LOG4J_FORMAT_MSG_NO_LOOKUPS
в значение true
.%m{nolookups}
вместо простого %m
.zip q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
.Но самый надёжный способ обезопасить свои ресурсы — это всё-таки подключить WAF.
Мы следим за появлением новых уязвимостей и обновляем наши алгоритмы максимально быстро. Вам не нужно будет переживать за безопасность ваших ресурсов и принимать экстренные меры по их защите.