Бесплатно Экспресс-аудит сайта:

21.12.2021

Эксперты выявили новый локальный вектор атаки уязвимости Log4Shell

Исследователи в области кибербезопасности обнаружили новый вектор атаки, позволяющий злоумышленникам локально использовать уязвимость Log4Shell ( CVE-2021-44228 ) в серверах с помощью соединения JavaScript WebSocket.

По словам технического директора Blumira Мэтью Уорнера (Matthew Warner), эксплуатация уязвимости возможна при посещении web-сайта пользователем, у которого установлена уязвимая версия Log4j на ПК или в локальной сети. Ранее эксперты полагали, что влияние Log4j ограничивалось уязвимыми серверами. В настоящее время нет свидетельств использования нового вектора в реальных атаках. Вектор значительно расширяет поверхность атаки и может повлиять даже на службы, работающие как localhost.

Проблему можно решить, обновив все локальные и подключенные к Сети среды разработки до версии Log4j 2.16.0, однако это не единственная уязвимость в Log4j. Apache выпустила версию 2.17.0, которая устраняет новую уязвимость ( CVE-2021- 45105 ) в Log 4j2. Это уже третья по счету проблема после CVE-2021-45046 и CVE-2021-44228.

Полный список уязвимостей Log4Shell включает:

  • CVE-2021-44228 (максимальные 10 баллов по шкале CVSS) — уязвимость удаленного выполнения кода, затрагивающая версии Log4j от 2.0-beta9 до 2.14.1. Проблема исправлена в версии 2.15.0.

  • CVE-2021-45046 (9,0 баллов по шкале CVSS) — уязвимость позволяет похитить информацию и удаленно выполнить код. Затрагивает версии Log4j от 2.0-beta9 до 2.15.0, за исключением 2.12.2. Исправлена в версии 2.16.0.

  • CVE-2021-45105 (7,5 баллов по шкале CVSS) — DoS-уязвимость, затрагивающая версии Log4j от 2.0-beta9 до 2.16.0. Исправлена в версии 2.17.0.

  • CVE-2021-4104 (оценка по CVSS: 8,1) — уязвимость небезопасной десериализации, затрагивающая версии Log4j 1.2. Исправление отсутствует, необходимо обновиться до версии 2.17.0.

По словам специалистов из румынской ИБ-компании Bitdefender, легко используемая и широко распространенная уязвимость представляет собой прекрасную возможность для злоумышленников. В ходе более 50% атак на ханипоты использовалось программное обеспечение Tor. Согласно данным телеметрии, собранным с 11 по 15 декабря, только на Германию и США пришлось 60% всех попыток эксплуатации уязвимости. Наиболее частыми целями атак в данный период были США, Канада, Великобритания, Румыния, Германия, Австралия, Франция, Нидерланды, Бразилия и Италия.

Кроме того, команда Google Open Source Insights Team обнаружила , что 35 863 пакета Java, составляющих более 8% репозитория Maven Central, используют уязвимые версии библиотеки Apache Log4j. Из затронутых артефактов только около 7 тыс. пакетов напрямую зависят от Log4j. Кроме того, 2620 уязвимых пакетов были обновлены менее чем через неделю после раскрытия информации о проблеме.