УДК 004.056
ПУТИ ЗАЩИТЫ ОТ УЯЗВИМОСТИ LOG 4J2
Сарсенбаева Ж., Исмагул А.А., Плескачев Д.В.
Кокшетауский университет им.А.Мырзахметова (г.Кокшетау, Республика Казахстан)
Аннотация. На сегодняшний день уязвимость в log4j2 под названием Log4Shell является чрезвычайно опасной и ее надо предотваращать. Это касается всех версий log4j-core от 2.0-beta9 до 2.14.1, и это очень серьезная проблема. Уязвимость позволяет злоумышленнику удаленно выполнить код в вашей системе с возможностью получить полный контроль над базовыми серверами. Log4J долгое время был наиболее часто используемым фреймворком для ведения журналов в среде Java. Он чрезвычайно широко используется, и у этой атаки есть самый широкий триггер. Вредоносный код может быть доставлен многими способами, если они попадают в оператор логирования через управляемые пользователем поля, HTTP-запросы, URL-адреса и т.д.
Ключевые слова: информация, защита, уязвимость, риск, атаки.
Произошел колоссальный рост атак на цепочки поставок, направленных на исходные библиотеки и программные компоненты с открытым исходным кодом. Интересно, что, несмотря на риск, отраслевая тенденция показывает сильный рост спроса и предложения на программное обеспечение с открытым исходным кодом.
Самый последний эксплойт в библиотеке ведения журналов Java (log4j) потряс ИТ-индустрию своим широким использованием и простотой эксплуатации. Эта уязвимость (CVE-2021-44228) позволяет злоумышленнику выполнить произвольный код на удаленном сервере. Код запускается, когда злоумышленник предоставляет специально созданную полезную нагрузку в HTTP-запросе, а затем обрабатывает уязвимый элемент Log4j 2.x. [1]
Риск уязвимости библиотеки Log4j2 представляет различные риски для многих организаций и их пользователей. Это включает, помимо прочего, удаленное выполнение кода, несанкционированный доступ к данным организации и нарушение доступности систем.
Затронутые версии Log4j между версиями 2.0-beta-9 и 2.14.1 подвержены этой уязвимости. Эта уязвимость исправлена в версиях 2.15.0 и 2.16.0.
Уязвимость Log4j2 применима к системам, включая приложения на основе Java и базовую инфраструктуру, которые используют уязвимые версии библиотеки Log4j.
Пользовательские приложения для ведения бизнеса организации полагаются на разработку индивидуальных приложений собственными или сторонними поставщиками услуг. Эти приложения часто используют компоненты, библиотеки с открытым исходным кодом (OSS), такие как Log4J, для разработки программного обеспечения.
Если организация предоставляет централизованный репозиторий для библиотек с открытым исходным кодом, этот репозиторий необходимо сканировать с помощью сканеров библиотек с открытым исходным кодом. Кроме того, такие платформы, как веб-серверы, следует сканировать с помощью сканеров платформ, таких как Qualys / Nessus или любого другого сканера с открытым исходным кодом, чтобы обнаружить наличие уязвимых библиотек Log4j.
На сегоднящний день организации приобретают множество приложений COTS и SaaS для удовлетворения потребностей бизнеса. Эти приложения обычно размещаются либо локально у сторонних хостинг-провайдеров, либо в облаке.
Поскольку приложения COTS не предоставляют доступ к своему исходному коду, то владельцы продуктов могут определить, уязвим ли их продукт COTS или SaaS, просмотрев список затронутых приложений.
В результате владельцы продуктов должны связаться с третьими сторонами, поставщиками, чтобы подтвердить, что они признают CVE-2021-44228, если они затронуты. График установки исправлений также поможет определить поверхность атаки.
Чтобы уменьшить уязвимость, можно применить один или несколько вариантов:
1. Обновитесь до Log4j v2.15.0 или v2.16.0 (предпочтительный выбор).
Если обновление невозможно в краткосрочной перспективе, установите свойство:
2. log4j2.formatMsgNoLookups = true.
Кроме того, для этих уязвимых версий может быть установлена переменная среды:
LOG4J_FORMAT_MSG_NO_LOOKUPS = истина
Это можно сделать в автоматическом режиме с помощью этого скрипта.
3. Удалить класс JndiLookup из пути к классам log4j-core.
Например:
zip -q -d log4j-core - *. jar org / apache / logging / log4j / core / lookup / JndiLookup.class
4. Отключите подозрительный исходящий трафик, такой как LDAP и RMI, на сервере и в брандмауэре.
Правила брандмауэра обновлены с помощью сигнатуры уязвимости Log4j. WAF настроен на отбрасывание трафика с известными полезными нагрузками.
Инструмент SIEM настроен на запуск предупреждений на основе журналов приложений и серверов.
Стратегический подход, обеспечивающий управление и надзор за включением компонентов и библиотек с открытым исходным кодом в среду.
Управление всеми библиотеками с открытым исходным кодом должно быть централизованным.
Постоянно отслеживайте наличие уязвимостей в централизованном репозитории с открытым исходным кодом.
Библиотеки с открытым исходным кодом следует обнаруживать в SDLC на ранней стадии с помощью подключаемых модулей IDE во время разработки.
Автоматическое сканирование следует запускать в процессе сборки в конвейерах CI / CD.
Атака log4j JNDI и как
ее предотвратить
F=1 6699 ?
■ i■ < ■. ni'. - " 1 cOnditdap://evil xa/x) Idap . злоxa/x
ХОСТ http исыч
Агент пользователя (rtjndi Idap fíe
\ Овлок
Наладающии \ )
ñ
п —•—»
o
«O.»™. .^r _I №
" I блад'ища íavac http //evrt xa
I ..........javaSanataedData < ..»
I
®Фв мам
Рис. 1. Атака Log 4j JNDI и пути ее предотвращения.
На сегодняшний день существующие организации образования по информационной безопасности должны быть полны решимости подготовить квалифицированных экспертов по кибербезопасности в отрасли с их передовой программой обучения тестированию на проникновение веб-приложений в режиме реального времени. По мере того как в приложениях появляется все больше уязвимостей, потребность в найме экспертов по безопасности приложений будет продолжать расти. Программы обучения организаций образования по специализации информационной безопасности дают людям базовые знания наряду с практическими занятиями, которые помогут им добиться успеха в своей карьере в области кибербезопасности.
Библиографический список
1. Запечников С.В. Информационная безопасность открытых систем. В 2 томах. Том 1. Угрозы, уязвимости, атаки и подходы к защите и др. - Москва: ИЛ, 2006. - 536 а
2. Информационная безопасность систем организационного управления. Теоретические основы. В 2 томах. Том 1. - М.: Наука, 2006. - 496 а
3. Партыка Т. Л. Информационная безопасность. - М.: Форум, Инфра -М, 2014. - 368 а
4. Партыка Т.Л. Информационная безопасность. Попов. - М.: ИНФРА-М, 2008. - 368 а
5. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации. - М.: ИНФРА-М, 2006. - 304 а
6. Федоров А. В. Информационная безопасность в мировом политическом процессе . - М.: МГИМО - Университет, 2006. - 220 а
7. Чипига А. Ф. Информационная безопасность автоматизированных систем. - М.: Гелиос АРВ, 2010. - 336 а
8. Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей. - М.: Форум, Инфра-М, 2011. - 416 а
9. Ярочкин В.И. Информационная безопасность: моногр. - М.: Академический проект, 2008. - 544 а
Сарсенбаева Жаныл, старший преподаватель кафедры «Информационные системы и Информатика», Кокшетауский университет им. Абая Мырзахметова (г.Кокшетау, Республика Казахстан).
e-mail: zhanyl.sarsenbaeva@bk.ru
Исмагул Азамат Асетулы, магистрант кафедры «Информационные системы и Информатика», Кокшетауский университет им. Абая Мырзахметова (г.Кокшетау, Республика Казахстан).
Плескачев Денис Владимирович, преподаватель кафедры «Информационные системы и Информатика», Кокшетауский университет им. Абая Мырзахметова (г.Кокшетау, Республика Казахстан).
e-mail: denispleskachev@mail.ru
Дата поступления статьи: 23.12.2021
© Сарсенбаева Ж, Исмагул А.А., Плескачев Д.В., 2022