В связи с выявлением в декабре опасных уязвимостей библиотеки логирования Log4j 2 — CVE-2021-44228, CVE-2021-45046, CVE2021-4104 и CVE-2021-42550 — компания «Доктор Веб» обращает внимание пользователей на необходимость соблюдения мер безопасности. Библиотека используется для ведения журналов в проектах на языке Java и является частью общего проекта Apache Logging Project. Уязвимости позволяют злоумышленникам выполнить произвольный код в системе, вызвать отказ в обслуживании или раскрыть конфиденциальную информацию. Несмотря на то, что компания Apache уже выпустила несколько патчей, угрозы по-прежнему могут представлять опасность.
Наиболее критическая уязвимость Log4Shell (CVE-2021-44228) основана на том, что при логировании библиотекой Log4j 2 сообщений, сформированных особым образом, происходит обращение к контролируемому злоумышленниками серверу с последующим выполнением кода.
Киберпреступники распространяют через уязвимости майнеры — вредоносные программы для добычи криптовалюты, — бэкдоры для получения удаленного доступа к устройству, а также DDoS-трояны, позволяющие совершать DDoS-атаки.
Мы фиксируем атаки с использованием эксплойтов под указанные уязвимости на одном из наших «ханипотов» (от англ. honeypot, «горшочек с медом») — специальном сервере, используемом специалистами «Доктор Веб» в качестве приманки для злоумышленников. Наибольшая активность угрозы пришлась на период с 17 по 20 декабря, но атаки продолжаются и по сей день.
График количества ежедневных атак:
Атаки производятся с 72 различных IP-адресов. Если говорить о распределении по странам, то наибольшее количество атак совершено с немецких IP-адресов — 21%. Дальше в списке с небольшим отставанием идут IP-адреса из России — 19,4%. Ну а замыкают тройку лидеров американские и китайские IP-адреса — по 9,7%.
Некоторые проекты напрямую зависят от Log4j 2, другие же имеют одну или несколько неявных зависимостей. Так или иначе, уязвимости влияют на работоспособность множества проектов по всему миру. Нужно внимательно следить за выпуском обновлений ПО, которое использует библиотеку Log4j 2, и своевременно их устанавливать.
Также не забывайте регулярно обновлять Dr.Web — наши продукты успешно детектируют полезную нагрузку вредоносного ПО, проникающего на устройства через уязвимости Log4j 2.