Apache Log4j

Основная статья: Управление данными (Data management)

2022: Белый дом США собрал Microsoft, Google и IBM после обнаружения критической уязвимости в софте Apache

13 января 2022 года администрация президента США Джо Байдена провела встречу с руководителями крупных технологический компаний, федеральных ведомств и некоммерческих организаций, чтобы обсудить проблему безопасности программного обеспечения с открытым исходным кодом. Необходимость разговора представителей ИТ-бизнеса, ключевых участников сообщества Open Source и правительства назрела после обнаружения нашумевшей уязвимости в библиотеке Apache Log4j, которая стала причиной огромной волны атак на серверы по всему миру.

Мероприятие в Белом доме состоялось в формате видеоконференции. Оно проходило не как презентация, а формате группового обсуждения, при котором каждый из участников мог высказаться. В обсуждении приняли участие представители Amazon, IBM, Microsoft, Akamai, Apache Software Foundation и Linux Foundation, а также американских министерств торговли, обороны, энергетики и национальной безопасности. Встреча прошла под руководством главного советника Белого дома США по кибертехнологиям Энн Нюбергер (Anne Neuberger).

Эксперты по безопасности бьют тревогу по поводу новой критической уязвимости, обнаруженной в широко распространенной библиотеке Apache Log4j

Как пишет The Wall Street Journal, участники встречи говорили о том, что они сосредоточились на практических способах совместной работы государственного и частного секторов для повышения стандартов безопасности открытого ПО, частично опираясь на уже предпринимаемые усилия сообщества, в том числе на разработки организации Open Source Security Foundation (OpenSSF, основана в 2020 году). В состав последней входят крупные банки, ИТ-компании и исследовательские организации.

Мы считаем, что для дальнейшей работы требуется сотрудничество между компаниями и организациями, которые пользуются и поставляют ПО с открытым исходным кодом, — говорится в сделанном Apache Software Foundation, сделанном после разговора, организованном администрацией президента США.

Несколько участников встречи также выступили с заявлениями, в которых поприветствовали поддержку Белого дома вопроса безопасности открытого ПО, но предупредили о недостаточной защищенности таких продуктов.

Трудно представить ситуацию, при которой правительство заняло бы очень негативную позицию и заявило: «Ну, мы не можем доверять открытому ПО» или рассматривало бы Open Source как козла отпущения, - сказал технический директор Роберт Блумоф Akamai, присутствовавший на встрече.

Он сообщил, что участники разговора обсудили поиск способов поддержки открытого софта таким образом, чтобы не перегружать разработчиков, а фактически поддерживать их с помощью различных инструментов, образовательных и других инициатив. Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое

Google предложила создать своего рода маркетплейс для подбора добровольцев в компаниях, развивающих наиболее важные для рынка проекты, которые больше всего нуждаются в поддержке. Сама Google изъявила готовность предоставить ресурсы для такой работы.

Кейси Эллис, основатель и технический директор Bugcrowd (развивает платформу для «белых» хакеров), говорит, что небольшие проекты Open Source часто поддерживаются небольшими группами добровольцев, которые работают над ними время от времени. Это создает большую угрозу для безопасности таких продуктов, считает она.

Представители ИТ-компаний и федеральных ведомств США обсудили проблему безопасности открытого ПО

При этом о каких-либо конкретных шагах, направленных на решение проблемы безопасности открытого ПО, участники знаковой встречи не договорились. Однако Белый дом намерен в ближайшие дни выдвинуть конкретные предложения, а также подготовить план следующий встречи по данному вопросу с руководителями крупных ИТ-компаний, сообщается 14 января 2022 года.

11 января 2022 года Агентство по кибербезопасности и защите инфраструктуры (CISA) заявило, что пока не обнаружило серьезных разрушительных кибератак, связанных с уязвимостями Log4j, однако признало ее серьезность.

Масштаб и потенциальное воздействие этой проблемы делают её невероятно серьёзной, — заявила в разговоре с журналистами глава CISA Джен Истерли (Jen Easterly), добавив, что проблема с Log4j стала «самой серьёзной уязвимостью», которую ей приходилось видеть за всю свою карьеру.[1]

2021: Обнаружение уязвимости, позволяющей удаленно выполнить произвольный код без аутентификации

Система управления уязвимостями MaxPatrol VM, система глубокого анализа трафика PT Network Attack Discovery и межсетевой экран уровня веб-приложений PT Application Firewall выявляют критически опасную уязвимость нулевого дня в библиотеке журналов Apache Log4j, которую используют миллионы приложений и сервисов на основе Java, корпоративное программное обеспечение и облачные серверы, а также компьютерные игры. Об этом Positive Technologies сообщила 14 декабря 2021 года. С 10 декабря 2021 года злоумышленники активно сканируют сеть в поисках уязвимых систем и атакуют ханипоты.

В одном из самых популярных в мире фреймворков для сбора журналов — библиотеке Log4j разработчика Apache Software Foundation — обнаружена уязвимость нулевого дня. Ей подвержены все версии библиотеки с 2.0-beta9 до 2.14.1. Уязвимость, получившая название Log4Shell, позволяет атакующим удаленно выполнить произвольный код без аутентификации и захватить полный контроль над уязвимыми серверами.

CVE-2021-44228 присвоен максимальный уровень опасности по шкале CVSS 3.0 — 10 баллов. Log4Shell отличает простота эксплуатации: операция по отправке в журнал одной строки кода через приложение не требует от злоумышленников особых технических навыков.

Библиотека Log4j входит в состав большинства сетевых продуктов Apache, а также используется в миллионах корпоративных приложений и веб-сервисов, разработанных на языке Java, для регистрации сообщений об ошибках. По последним данным, уязвимости подвержены облачные серверы Amazon, Apple, Baidu, Cloudflare, DiDi, Google, JD.com, Microsoft, Minecraft, NetEase, Steam, Tencent, Tesla, Twitter, VMware, а также решения тысячи других производителей ПО. Помимо этого, фреймворк активно применяют в различных проектах с открытым исходным кодом, включая Elasticsearch, Ghidra и Red Hat.

Начиная с 10 декабря 2021 года фиксируются попытки массового сканирования сети на предмет уязвимых для Log4Shell систем. Риск ее эксплуатации существенно вырос после того, как на портале GitHub был опубликован первый PoC-эксплойт. По словам экспертов Positive Technologies, в реальных атаках эта уязвимость в Apache Log4j может эксплуатироваться множеством способов, в зависимости от конкретного сервиса. В итоге под угрозой крупные организации по всему миру, сайты правительств, а также большая часть интернета.

Обнаружить киберугрозу помогут продукты Positive Technologies: три из них выявляют уязвимость Log4Shell «из коробки», то есть нынешним пользователям ничего дополнительно загружать не нужно. В частности, если база знаний MaxPatrol VM содержит обновления от 10 декабря 2021 года, уязвимые активы будут выявлены автоматически.

Межсетевой экран уровня веб-приложений PT Application Firewall (версия 3.0) обнаруживает попытку эксплуатации уязвимости как SSTI (внедрение вредоносного кода в шаблон на стороне сервера) и впоследствии блокирует ее, а версия 4.0 дополнительно определяет ее как попытку JNDI-инъекции.

Правило в PT Application Firewall позволяет обнаружить внедрение шаблонов

Эксплуатацию Log4Shell также можно обнаружить с помощью PT NAD во время анализа сетевого трафика. Для этого специалисты экспертного центра безопасности Positive Technologies добавили в продукт специальное правило детектирования.

Срабатывание правила в PT NAD при попытке эксплуатации уязвимости в библиотеке Log4j