Возможно, вы уже знаете о существовании критической уязвимости безопасности log4j2, позволяющей удаленно выполнять требуемый программный код на пораженном компьютере без какой-либо аутентификации на нем. По оценкам экспертов, найденная уязвимость наблюдается на миллионах компьютеров по всему миру.

Описание уязвимости

9 декабря 2021 года исследователи в сфере информационной безопасности раскрыли критическую уязвимость CVE-2021-44228 удаленного выполнения кода без проверки подлинности (RCE) в log4j2 – популярной и широко используемой библиотеке ведения журналов для приложений Java. Злоумышленник может воспользоваться этой уязвимостью для запуска вредоносного кода в уязвимых системах.

Стоит отметить, что распространенный и тривиальный вектор LDAP- атаки не влияет на версию Java, используемую приложением с более новыми версиями JDK, чем 6u11, 7u201, 8u191 и 11.0.1. Кроме того, не являются уязвимыми те версии log4j2, в которых явно отключен поиск JNDI.

Корпоративные решения Panda не уязвимы

После тщательного анализа специалисты компаний WatchGuard и Panda Security установили, что ни один из продуктов и сервисов WatchGuard и Panda не уязвим для тривиального вектора LDAP-атаки. Было обнаружено, что некоторые службы и промежуточное программное обеспечение служб запускают уязвимую версию log4j2, но в паре с неуязвимой версией JDK. Мы оперативно исправили эти сервисы и не обнаружили никаких доказательств успешных эксплойтов против них.

Для получения дополнительной информации смотрите пост в блоге Secplicity.

Как выявить уязвимые компьютеры и серверы

Несмотря на то, что клиенты корпоративных решений Panda семейства Endpoint Protection / Adaptive Defense защищены моделью защиты с нулевым доверием Zero-Trust, реализованной в Panda для обеспечения безопасности конечных устройств, тем не менее, всегда рекомендуется удалять уязвимое программное обеспечение или устранять в нем найденные уязвимости с помощью специальных обновлений и патчей для сокращения вероятности атаки.

Чтобы упростить идентификацию уязвимых компьютеров и серверов, в движок Panda было добавлен специальный детект для обнаружения найденной уязвимости. Кроме того, мы собираемся добавить специальное уведомление в облачной веб-консоли корпоративного решения безопасности Panda, рекомендующее нашим клиентам и партнерам выполнить антивирусную проверку по запросу на всех компьютерах и серверах Windows, macOS и Linux для обнаружения программного обеспечения, подверженного уязвимости Log4J.

ВАЖНО! Рекомендуется запускать сканирование в нерабочее время, поскольку, хотя сканирование запускается и с низким приоритетом для минимизации потребления ресурсов, все же непрерывное сканирование файлов на жестком диске может незначительно повлиять на производительность компьютера или сервера.

Обнаружения будут отображаться в виджете «Угрозы, обнаруженные антивирусом» и в списке «Активность вредоносного ПО» в виде потенциально нежелательной программы (ПНП / PUP), а также на странице с более подробной информацией об уязвимом компьютере.

В случае обнаружения уязвимости рекомендуется немедленно обновить или исправить уязвимое программное обеспечение. Как только компьютеры и файлы, затронутые уязвимостью, будут идентифицированы, немедленно обновите компонент LOG4J и убедитесь, что поиск JNDI отключен, установив для флага JVM log4j2.formatMsgNoLookups значение True, чтобы уменьшить уязвимость.

Если вы используете средства сканирования уязвимостей и патчей, такие как дополнительный модуль Panda Patch Management, то убедитесь в том, что уязвимость, идентифицированная с помощью CVE-2021-44228, не найдена на ваших компьютерах или серверах – в противном случае, исправьте ее как можно скорее.