Обзор

В этой статье будет обсуждаться информация, касающаяся уязвимости Log4j (Удаленное выполнение кода), и шаги, предпринятые Cato Networks, чтобы наши клиенты оставались защищены.

Эта статья касается CVE-2021-44228, который получил базовую оценку риска CVSS 10,0 (КРИТИЧЕСКИЙ)

Cato в настоящее время оценивает влияние этой уязвимости на нашу клиентскую базу, и эта статья будет обновляться по мере развития ситуации. 

Предпосылки и воздействие

В Java-библиотеке журналирования Apache Log4j 2 в версиях с 2.0-beta9 до 2.14.1 обнаружена ошибка. Это могло бы позволить удаленному злоумышленнику выполнить код на сервере, если система регистрирует строковое значение, контролируемое атакующим, с поиском по LDAP-серверу JNDI злоумышленника.

Эта уязвимость позволила бы злоумышленникам выполнять вредоносный код в Java приложениях, и, таким образом, это представляет значительный риск из-за распространенности Log4j в глобальной программной среде. 

Среда

Эта проблема, по-видимому, затрагивает только версии log4j между 2.0 и 2.14.1. Чтобы использовать этот изъян, вам потребуется:

• Удаленно доступная конечная точка с любым протоколом (HTTP, TCP и т. д.), которая позволяет атакующему отправлять произвольные данные,
• Запрос регистрации в конечной точке, который регистрирует данные, контролируемые атакующим.

Из-за существования JMS Appender, который может использовать JNDI в log4j 1.x, возможно, что версия log4j 1.x также подвергается этой уязвимости. Влияние все еще исследуется специалистами по безопасности. 

Что делает Cato?

Аналитики безопасности в Cato Networks неустанно работают, чтобы идентифицировать, точно локализовать и уменьшить любую потенциальную уязвимость или экспозицию, которую наши клиенты могут иметь для этой угрозы. 

• 9 декабря 2021 года: Сообщество безопасности стало осведомлено об активных попытках эксплуатации в ПО Apache Log4j.
• 10 декабря 2021 года: Cato Networks идентифицировала сигнатуру трафика, связанную с этой уязвимостью, и начала активно проводить мониторинг нашей клиентской базы.
• 11 декабря 2021 года: Мы внедрили глобальное правило блокирования в нашей IPS для всех клиентов Cato Networks, чтобы смягчить эту уязвимость.

Предполагается, что инфраструктура Cato Cloud в настоящее время не является уязвимой для этого эксплойта. 

Что мне нужно делать?

• Если у вас включен IPS Cato, мы будем автоматически блокировать сигнатуру трафика этой уязвимости автоматически. Нет необходимости в применении патчей или обновлений к платформе Cato.
• Клиент SDP, сокеты Cato и виртуальные сокеты Cato не используют Apache Log4j.
• Рекомендуется, чтобы любой клиент, использующий продукты Apache, следовал непрерывным рекомендациям поставщика.

События IPS будут созданы в приложении управления Cato, указывая действия блокировки для этого CVE. Например:

Эта ситуация в настоящее время развивается в IT-ландшафте, и Cato Networks активно следит и расследует ситуацию, чтобы обеспечить защиту наших клиентов.