Aktualizováno 13. 12. 2021.
Pokládáme za nutné Vás informovat o nové kritické zranitelnosti nazvané Log4j s označením CVE-2021-44228 a hodnocením CVSSv3.1 10. Tato zdanitelnost je vázána i na ostatní produkty využívající prostředí Java. Jedná se o RCE (Remote Code Execution) zranitelnost, kterou může neautentizovaný útočník vzdáleně zneužít zasláním speciálně upraveného požadavku na server, na kterém zranitelná verze tohoto softwaru běží.
Útočníci již aktivně skenují prostředí internetu za účelem detekce této zranitelnosti. Na GitHub jsou již dostupné Proof-of-Concept exploity. Někteří z našich zákazníků již ohlásili bezpečnostní události spojené s exploitací této zranitelnosti.
Doporučujeme urychleně aktualizovat produkt na novější verzi, ve které je již aplikována záplata, viz níže.
Aktuálně dochází k rozsáhlému zneužívání této zranitelnosti. Útočníci již aktivně skenují prostředí internetu za účelem detekce této zranitelnosti. Na GitHub jsou již dostupné Proof-of-Concept exploity. Někteří z našich zákazníků již ohlásili bezpečnostní události spojené s exploitací této zranitelnosti. Cloudflare zaznamenává veliký počet dotazů nesoucí data využívající zranitelnost.
Technické detaily
| CVSSv3.1 skóre | 10 |
| Attack Vector (AV) | Network |
| Attack Complexity (AC) | Low |
| Privileges Required (PR) | None |
| User Interaction (UI) | None |
| Scope (S) | Changed |
| Confidentiality (C) | High |
| Integrity (I) | High |
| Availability (A) | High |
Řešením je aktualizovat Apache Log4j na verzi 2.15.0, která byla vydána 10. 12. 2021. Tato verze však vyžaduje Java 8, proto pokud používáte starší verzi, je nejprve nutné updatovat Javu. Pokud není možné okamžitě patchovat, jsou dostupné další kroky mitigace zranitelnosti:
|
Mitigace |
Verze |
| Set log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups to true | Log4j 2.10 a vyšší |
| Use %m{nolookups} in the PatternLayout configuration | Log4j 2.7 a vyšší |
| Remove JdniLookup and JdniManager classes from log4j-core.jar | Všechny verze Log4j 2 |
Jako kritické považujeme aplikovat mitigaci na VMware, kde je zatím známý workaround.
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Zranitelnost můžete na svých systémech detekovat pomocí již vydaných pluginů Tenable. Nejprve se ujistěte, že máte aktuální Tenable.sc Feed i Active Plugins Feed (z 11. 12. 2021 17:00 a starší), případně proveďte manuální update. Následně budete mít k dispozici prozatím pět pluginů pro detekci uvedené zranitelnosti, všechny obsažené v politice „Log4Shell“. Tato politika je dostupná ve všech produktech Tenable (Nessus Pro, Tenable.io, Tenable.sc).
Vzhledem k tomu, že se jedná o zranitelnost zneužitelnou vzdáleně, doporučujeme provést sken alespoň internet-facing systémů.
V případě dotazů nebo požadavku na vytvoření skenu nás prosím kontaktuje prostřednictvím support systému AEC JIRA na stránkách
https://support.aec.cz/.
Reference:
https://www.tenable.com/blog/cve-2021-44228-proof-of-concept-for-critical-apache-log4j-remote-code-execution-vulnerability
https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
