В связи с активным использованием злоумышленниками ряда уязвимостей Apache Log4j агентства кибербезопасности из Австралии, Канады, Новой Зеландии, США и Англии в среду выпустили совместное руководство.
«Эти уязвимости, особенно Log4Shell, очень серьезны» — говорится в руководстве. «Сложные субъекты киберугроз активно сканируют сети, чтобы потенциально использовать Log4Shell, CVE-2021-45046 и CVE-2021-45105 в уязвимых системах. Эти уязвимости, вероятно, будут эксплуатироваться в течение длительного времени».
Злоумышленник может использовать Log4Shell (CVE-2021-44228), отправив специально созданный запрос на уязвимую систему, который заставит эту систему выполнить произвольный код. CVE-2021-45046, с другой стороны, позволяет удаленно выполнить код в нестандартных конфигурациях, а CVE-2021-45105 может быть использован для DoS-атаки.
После обнаружения появления информации об уязвимостях в открытом доступе непропатченные серверы атакуют все кому не лень: от распространителей вредоносов-вымогателей до госхакеров. Во взломанных сетях были замечены маяки (beacons) Cobalt Strike, криптомайнеры и ботнеты.
Проведенная ФБР оценка атак также позволила предположить, что злоумышленники включают эти уязвимости в «существующие киберпреступные схемы, стремящиеся использовать все более сложные методы обфускации». Из-за серьезности уязвимостей и вероятного усиления их эксплуатации организациям настоятельно рекомендуется как можно скорее выявить, очистить и обновить пострадавшие активы (assets).
В связи с этим Агентство по кибербезопасности и защите инфраструктуры США (CISA) и координационный центр CERT выпустили утилиты для выявления уязвимых к Log4Shell систем.
Последний шаг, предпринятый на данный момент — Apache Software Foundation (ASF) выпустила патч для Apache HTTP Server 2.4.51, устраняющий уязвимости CVE-2021-44790 (CVSS оценка: 9.8) и CVE-2021-44224 (CVSS оценка: 8.2) — первая из которых может быть использована удаленным злоумышленником для выполнения произвольного кода и получения контроля над зараженной системой.
