MKD-CIRT National Centre for Computer Incident Response
Тековно се споделуваат примери за злоупотреба (exploit) на критична нова т.н. „0-day“ ранливост во библиотека за евидентирање базирана на Java, со назив Log4J. Log4J е развиено од Apache Foundation и нашироко се користи кај апликациите за бизнис-корисници и кај услугите во облак.
Иако Java сè помалку се користи кај апликации за крајни корисници, сеуште има широка примена кај корпоративниот софтвер, веб апликациите и онлајн услугите. Ранливоста се однесува на т.н. Далечинско извршување на код (Remote Code Execution), означена како CVE-2021-44228 и наречена Log4Shell или LogJam, што овозможува целосно преземање на системи кај кои се користи Log4j од верзија 2.0-beta9 до 2.15.
Достапни се закрпи и ублажување
На корисниците на корпоративни апликации им се препорачува да ги следат известувањата од производителите за нови верзии и надградби и да постапат согласно напатствијата од производителите или добавувачите на софтверските решенија што се користат.
Apache објавува нови верзии на Log4j 2.17.0 за да се справи со RCE ранливостa CVE-2021-44228 и други. Пропустот може да се ублажи и во претходните верзии (2.10 и понови) со поставување на системското својство “log4j2.formatMsgNoLookups“ на „true“ или со отстранување на класата JndiLookup од класната патека.
Ажурирано на 18.12.2021 година:Ранливост CVE-2021-45105 од тип Denial of Service е исто така откриена кај верзиите на Log4J 2.0-beta9 до 2.16.0, што работат во ранлива (non-default) конфигурација
Apache Објавува листа на откриени ранливости за Log4J на следниот линк:
https://logging.apache.org/log4j/2.x/security.html
На оние што ја користат библиотеката им се советува да ja надградат до најновата верзија, бидејќи напаѓачите веќе бараат цели што можат да се искористат и забележани се масовни скенирања. Пред секоја надградба консултирајте се со експертите или поддршката за вашите апликации и софтверски решенија!
