Hírek első kézből

ESET BIZTONSÁGI TANÁCSOK

Tudjon meg többet a számítógépét érő legújabb veszélyekről, az ESET otthoni és vállalati termékeivel kapcsolatos újdonságokról, valamint hamarosan induló nyereményjátékainkról és akcióinkról.

Log4Shell sebezhetőség: amit eddig tudni lehet


2021.12.14. A mindenütt jelenlévő Log4j segédprogram kritikus hibája az IT biztonsági iparágon túl más szektorokban is nagy hullámokat vetett – összefoglaltuk, mit tudunk eddig a sebezhetőségről. Éppen amikor már jönnének az ünnepek, akkor kopogtat be az ajtónkon az Apache „Log4j 2” kódkönyvtárában található kritikus sebezhetőség is. A Log4j egy nyílt forráskódú Java-alapú naplózási könyvtár, amelyet számos termék, szolgáltatás és Java komponens széles körben használ. Nem meglepő, hogy a sebezhetőség a CVSS-skálán a legmagasabb, 10-es pontszámot érte el, mivel a hiba kihasználásával számtalan szerver irányítását lehet teljes mértékben átvenni. Mivel az interneten már elérhető a sebezhetőséget kihasználó exploit kód, most tanúi lehetünk egy tömegeket érintő „versenynek” a sebezhetővé vált rendszerek után kutató hackerek, a rendszerek frissítését végző és a hibát befoltozó biztonsági szakemberek, valamint az alkalmazások és kódkönyvtárak sebezhetőség-függőségi vizsgálatait végző fejlesztők között. Mi a Log4Shell? A CVE-2021-44228 néven illetett hiba egy távoli kódfuttatási (RCE) sebezhetőség, amely lehetővé teszi a támadó számára, hogy tetszőleges kódot futtasson az érintett kiszolgálón. Amennyiben a támadó valahogyan bejut a helyi hálózatba, még az internetnek nem kitett belső rendszerek is kihasználhatók. Végső soron az RCE sebezhetőség azt jelenti, hogy a támadónak nincs szüksége fizikai hozzáférésre ahhoz, hogy olyan tetszőleges kódot futtasson, amely az érintett rendszerek feletti teljes ellenőrzéshez és érzékeny adatok ellopásához vezethet. Idővonal A kritikus sebezhetőséggel kapcsolatos események időrendje: November 26.: A sebezhetőség CVE-azonosítóját bejegyezték.
December 1.: A sebezhetőség első ismert valódi (nem tesztelési célú) kihasználása.
December 10.: A CVE-azonosító közzététele és a javítás kiadása.
December 11.: 14:24-kor (közép-európai idő szerint) az ESET Hálózati támadások elleni védelmi modulja észlelési frissítést kapott a sebezhetőségre vonatkozóan. Észlelés Az ESET kiadta a sebezhetőség kihasználásának észlelésére vonatkozó frissítését. A Windows rendszereken ez a veszélyforrás a bejövő és a kimenő forgalomban egyaránt jelen lehet. Az érintett rendszerekben a támadó kódok a frissítés hatására blokkolásra kerülnek. A sebezhetőség kihasználására irányuló kísérletek észlelése a következő észlelési nevekkel került bevezetésre: JAVA/Exploit.CVE-2021-44228
JAVA/Exploit.CVE-2021-44228.B

Térképünk több százezer blokkolt, a Log4j sérülékenység kihasználására irányuló kísérletet mutat

A kárenyhítési lépések Az exploitokkal szembeni védelemhez kritikus fontosságú az összes könyvtár összes sebezhető verziójának megkeresése. Ehhez azt javasoljuk, hogy első lépésként állítson össze egy rangsorolt listát a rendszerekről, amelyeket át kell vizsgálnia, majd a listán szereplő tételeket egyesével értékelje ki. A trükkös rész a Java Archive (JAR) archívumokban tranzitív függőségként létező sebezhető verziók megtalálása lehet. Íme néhány alapvető szkript, amelyet használhat (ezeket a saját rendszereihez igazítva kell módosítania): A Log4j jelenlétének felderítése a rendszerben (Linux és Windows) Ez a GitHubon elérhető szkript megkeresi a hibás JndiLookup.class fájlt a rendszer bármelyik .jar archívumában. Linux sudo grep -r --include "*.jar" JndiLookup.class / Windows findstr /s /i /c:"JndiLookup.class" C:\*.jar A sebezhetőség kihasználási kísérleteinek észlelése a naplófájlokban (Linux) Ez a szkript, amely szintén elérhető a fenti GitHub linkről, a Linux naplók /var/log könyvtárában és annak összes alkönyvtárában található tömörítetlen fájlokban keresi az exploit kísérleteket: Grep sudo egrep -I -i -r '\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+' /var/log Zgrep sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i '\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+ ' Eredmények rögzítése A szkriptek vagy észlelőeszközök futtatása után mindenképpen rögzítse az eredményeket, hogy segítse valamennyi rendszere teljes ellenőrzési dokumentációjának elkészítését. Az ellenőrzésnek tartalmaznia kell, hogy talált-e Log4j-t egy rendszerben, és hogy a naplókban felfedeztek-e bármilyen exploit kísérletet. A Log4j legújabb verziójára való áttérés A Log4j 2 sebezhető verziói a log4j-core összes verziója a 2.0-beta 9-től a 2.14.1-ig. Megjegyzendő, hogy ez a könyvtár nem tévesztendő össze a log4j-api könyvtárral, amelyet ez a sebezhetőség nem érint. A legjobb megoldás a függőségek frissítése, hogy a legújabb, 2.15.0-s verziót használjuk. Bár a Log4j 1.x verzióit nem érinti ez a konkrét sebezhetőség, más sebezhetőségeket tartalmaznak. Konkrét terveket kell készíteni a könyvtár legújabb verziójára való áttérésre. Gyanús IP-címek blokkolása Végül pedig a gyanúsnak vélt IP-címeket blokkolhatja tűzfalával és/vagy behatolásmegelőző rendszerével. További információkért az ESET tájékoztatását itt érheti el.
ESET hírlevél feliratkozás kép

Értesüljön első kézből a számítógépei, okoseszközei biztonságát érintő legújabb információkról!

Tudjon meg többet a digitális eszközeit érő legújabb fenyegetésekről és veszélyekről, az ESET termékeivel kapcsolatos újdonságokról, valamint akcióinkról és nyereményjátékainkról.