Vulerabilitatea Apache Log4j

La data de 9 decembrie 2021 a fost descoperită o vulnerabilitate de executare a codului de la distanță de către un atacator neautentificat prin Log4j, și anume CVE-2021-4428 cunoscută și sub denumirea Log4Shell. Aceasta a fost clasificată drept fiind una de severitate critică, care odată ce atacatorul are acces deplin și control asupra unei aplicații poate duce la pierderea confidențialității, integrității și disponibilității datelor. Mai mult, CVE-2021-44228 are un scor de 10 (din 10) în sistemul comun de notare a vulnerabilității (CVSS).
Dezvoltată și întreținută de Apache, Log4j este adoptată pe scară largă și utilizată în multe produse /servicii software comerciale și open-source ca un framework de înregistrare a informațiilor pentru Java. Printre produsele/serviciile afectate se enumeră:
- Apache HTTP Project:
- Apache Log4j version 1.x
- Apache Log4j 2.x <= 2.14.1
- Apache Druid, Apache Flink, Apache Solr, Apache Spark, Apache Struts, Apache Struts2, Apache Tomcat

Lista tuturor buletinelor de securitate emise de către furnizori poate fi vizualizată la [Tech#1]. Printre cei mai importanți se enumeră:
1. Cisco – în scopul de a vizualiza lista actualizată a tuturor produselor/serviciilor afectate consultă [Vendor#2];
2. Oracle-  în scopul de a vizualiza lista actualizată a tuturor produselor/serviciilor afectate consultă [Vendor#3];
3.  NetApp - în scopul de a vizualiza lista actualizată a tuturor produselor/serviciilor afectate consultă [Vendor#4];
4. VMWare - în scopul de a vizualiza lista actualizată a tuturor produselor/serviciilor afectate consultă [Vendor#4];
5. Microsoft:
- Azure: în scopul de a vizualiza lista actualizată a tuturor produselor/serviciilor afectate consultă [Vendor#5];
6. McAfee:
- ePolicy Orchestrator Agent Handlers (ePO-AH) nu este impactată.
- Alte produse sunt în curs de investigare. În scopul de a vizualiza lista actualizată a tuturor produselor/serviciilor afectate consultă [Vendor#6].
7. ElasticSearch:
- Logstach vers. 6.8x -7.16.0 sunt afectate atunci când sunt configurate să ruleze pe JDK între 8u191 și 11.0.1.
- În scopul de a vizualiza lista actualizată a tuturor produselor/serviciilor afectate consultă [Vendor#7].
Notă: ElasticSearch pare să nu fie impactat de această vulnerabilitate, însă furnizorul va emite o actualizare de securitate pentru orice eventualitate.
8. Fortinet - în scopul de a vizualiza lista actualizată a tuturor produselor/serviciilor afectate consultă [Vendor#8];
9. Check Point
Check Point Infinity nu este afectat de această vulnerabilitate [Vendor#9].

Soluție
În scopul sporirii protecției și evitării unui potențial atac, Echipa CERT Orange Moldova recomandă identificarea urgentă a folosirii Log4j în software-urile utilizate și aplicarea patch-urilor corespunzătoare cât mai curând posibil:
- Apache: Upgrade Log4j2 la versiunea 2.15.0 [Vendor#10]
- Ceilalți furnizori: Verificarea buletinelor de securitate emise de către aceștia.
În cazul în care nu se pot aplica patch-uri, este indicată luarea oricărei măsuri de atenuare, pentru a evita alte daune.

În cazul în care sunteţi ţinta unui atac cibernetic Echipa Orange Moldova CERT vă pune la dispoziție consultanţă gratuită şi o suită de soluţii avansate de securitate cibernetică. Contactează un expert la 700 sau 022977700 pentru a primi suport instant.

Surse
Mai multe informații desprea această vulnerabilitate:
[Vendor#1] Apache Log4j Security Vulnerabilities
[Vendor#2] Vulnerability in Apache Log4j Library Affecting Cisco Products: December 2021
[Vendor#3] Oracle Security Alert Advisory
[Vendor#4] CVE-2021-44228 Apache Log4j Vulnerability in NetApp Products
[Vendor#5] Microsoft’s Response to CVE-2021-44228 Apache Log4j 2
[Vendor#6] McAfee Enterprise coverage for Apache Log4j CVE-2021-44228 Remote Code Execution
[Vendor#7] Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31
[Vendor#8] Apache log4j2 log messages substitution (CVE-2021-44228)
[Vendor#9] Protect Yourself Against The Apache Log4j Vulnerability
[Vendor#10] Download Apache Log4j 2
[Tech#1] 20211210-TLP-WHITE_LOG4J.md