Dne 9. prosince 2021 společnost Apache odhalila zranitelnost CVE-2021-44228, která se týká vzdáleného spuštění kódu a má stupeň závažnosti 10 (nejvyšší možné skóre rizika). Postihuje Apache Log4j2, framework pro protokolování založený na jazyce Java, který se široce používá v komerčních i open-source softwarových produktech. Zranitelnost se týká verzí 2.0 až 2.14.1; verze 2.15.0 zranitelná není.
Společnost Bitdefender již zaznamenala a monitoruje několik nebezpečných útočníků, kteří vedou nebezpečné kampaně zaměřené na zneužívání.
Zranitelnosti CVE-2021-44228 bylo přiřazeno nejvyšší možné skóre rizika (CVSS 10) kvůli jejímu dopadu na zneužití (možnost vzdáleného spuštění kódu na cílových hostitelích). Je pravděpodobné, že tato zranitelnost bude v počítačových infrastrukturách přetrvávat po dlouhou dobu, vzhledem k rozšířenému používání logovacího rámce Log4j2. Je důležité poznamenat, že tato zranitelnost je snadno zneužitelná a aplikace využívající postižené verze Log4j2 jsou vystaveny rozsáhlému prostoru pro útoky. Doporučuje se okamžitá akce!
Způsoby snížení rizika pro vaši infrastrukturu
Společnost Bitdefender důrazně doporučuje svým zákazníkům, aby okamžitě přijali opatření a nasadili všechny existující záplaty a zmírňující opatření, která doporučují výrobci. Doporučujeme také následující postup:
Proveďte rozsáhlý audit infrastruktury a softwarových aplikací s cílem identifikovat všechny systémy, které implementují rámec protokolování Apache Log4j2. Poté tato nasazení buď okamžitě aktualizujte na verzi Log4j 2.15.0, která není zranitelná, nebo nasaďte konfigurační opatření doporučená společností Apache, podrobněji v tomto článku.
Zkontrolujte svůj dodavatele softwaru a vyhledejte protiopatření nebo záplaty pro všechny dotčené systémy, buď od správců projektů open-source softwaru, nebo od výrobců komerčního softwaru. To platí zejména pro software, který používáte v systémech orientovaných na internet, ale nemělo by se to omezovat pouze na tyto systémy, vzhledem k hrozbě postranního útoku, kterou závažnost této chyby představuje.
Aktivně monitorujte infrastrukturu pro případné pokusy o zneužití, a odpovídajícím způsobem reagujte.
Je důležité poznamenat, že se jedná o velmi dynamickou situaci, a mnoho dodavatelů softwaru a projektů s otevřeným zdrojovým kódem stále zkoumá přítomnost Log4j2 ve svých softwarových dokumentech, a v následujících dnech a týdnech se očekávají další upozornění. Pečlivé sledování aktualizací od dodavatelů by proto mělo být důležitou součástí vašeho průběžného úsilí o zmírnění dopadů.
Produkty a služby společnosti Bitdefender
Společnost Bitdefender aktivně zkoumá potenciální rizika, která tato zranitelnost představuje pro zákazníky používající naše produkty a služby. Týmy bezpečnostního inženýrství a bezpečnostních operací společnosti Bitdefender, průběžně provádějí audity a zavádějí veškerá potřebná protiopatření ke zmírnění rizik v naší cloudové infrastruktuře a produktech, aby identifikovaly a eliminovaly potenciální rizika.
GravityZone Cloud: požadovaná opatření byla nasazena do infrastruktury GravityZone Cloud. Zákazníci společnosti Bitdefender nemusí podniknout žádné kroky.
GravityZone On-Premises: tato nasazení nejsou zranitelností ovlivněna. Zákazníci společnosti Bitdefender nemusí podniknout žádné kroky.
Vzhledem k tomu, že tato situace je dynamická a vyvíjí se, budeme i nadále aktivně sledovat nový vývoj a v případě potřeby poskytneme našim zákazníkům další informace o stavu a pokyny.
Další zdroje: