Körkép a Log4Shell sebezhetőségről

​Az Apache Log4j kapcsán felmerült súlyos sebezhetőség miatt rengeteg alkalmazás és rendszer frissítésére van szükség. A gyártók gőzerővel dolgoznak a javításokon.
 

Az elmúlt napokban sorra érkeztek a gyártói bejelentések annak kapcsán, hogy az Apache Log4j naplózó könyvtárban feltárt sérülékenység miatt frissítésekre van szükség. A CVE-2021-44228 azonosítóval fémjelzett, Log4Shell néven emlegetett sebezhetőségre először a Minecraft kapcsán derült fény, de hamar kiderült, hogy a probléma ennél jóval kiterjedtebb. Mivel a Log4j rengeteg alkalmazás, szolgáltatás működésében kap szerepet, ezért a hibának való kitettség nagyon széles körű. A kockázatokat pedig tetézi, hogy egy olyan sérülékenységről van szó, amelynek kihasználása viszonylag egyszerű, miközben jogosulatlan távoli kódfuttatást és rendszerkompromittálást tesz lehetővé a támadók számára. A Cloudflare és a Cisco Talos adatai szerint a sebezhetőség kihasználása már megkezdődött kiberbűnözői körökben.
 
A Log4Shell egy úgynevezett JNDI (Java Naming and Directory Interface) befecskendezési hiba. A kihasználása többféle módon történhet, de az egyik legkézenfekvőbb módszer, hogy a támadó manipulált webes kéréseket küld a szerver felé, amelyekben a user-agent értéket módosítja. Ezt a szerver naplózza, és amikor a Log4j a naplóbejegyzést feldolgozza, akkor parancsvégrehajtásra vagy kódfuttatásra nyílhat lehetőség.
 
Az Apache fejlesztői a biztonsági rés felfedezését követően viszonylag gyorsan megtették a szükséges lépéseket, és javították a hibát a Log4j 2.15.0-ás verziójában. Ettől azonban a gondok még korántsem oldódtak meg, hiszen most minden Log4j-et használó fejlesztőnek el kell végeznie a frissítést, a teszteket, az új verziók kiadását stb.
 
Néhány gyártó, amely már tett lépéseket a Log4Shell méregfogának kihúzása érekében:
 
Amazon
 
Az Amazon már számos szoftverét frissítette, hogy azokba bekerüljön a legújabb Log4j könyvtár. A hiba által érintett szolgáltatások között van az OpenSearch, az AWS Glue, az S3, a CloudFront, az AWS Greengrass és az API Gateway is.
 
Broadcom
 
Kockázatcsökkentő javaslatok és frissítések érkeztek egyebek mellett a CA Advanced Authentication, a Symantec SiteMinder (CA Single Sign-on), a VIP Authentication Hub és a Symantec Endpoint Protection Manager (SEPM) kapcsán is.
 
Cisco
 
A vállalat elkezdte a patch-ek kiadását. Az érintett megoldások között van egyebek mellett:
Identity Services Engine, Firepower Threat Defense, Advanced Web Security Reporting Application
Cisco Webex Meetings Server
Cisco CloudCenter Suite Admin, Data Center Network Manager, IoT Control Center, Network Services Orchestrator, WAN Automation Engine
Cisco Network Assurance Engine, Cisco SD-WAN vManage
 
cPanel
 
Az eddigi vizsgálatok szerint a cPanel Solr plugin esetében van szükség frissítésre.
 
Debian/Ubuntu/Red Hat
 
Már elérhető a Log4j csomag legújabb kiadása a legnépszerűbb Linux disztribúciókra.
 
Docker
 
Legalább egy tucat hivatalos Docker image-ben található meg a sebezhető Log4j. Az érintett megoldások pl.: couchbase, elasticsearch, logstash, sonarqube, solr. A frissítések úton vannak.
 
FortiGuard
 
A Fortinet is sorban adja ki a javításokat. Az érintett termékek között van: FortiSIEM, FortiInsight, FortiMonitor, FortiPortal, FortiPolicy.
 
F-Secure
 
A cég elérhetővé tette a javításait, amelyek Windows és Linux kompatibilis védelmi alkalmazásokat (Policy Manager, Endpoint Proxy, Elements Connector) is érintenek.
 
IBM
 
Az IBM eddig a WebSphere Application Server érintettségét mutatta ki a Log4Shell kapcsán. A patch már elérhető.
 
Juniper Networks
 
A vállalat szerint a Paragon Active Assurance, a Paragon Insights, a Paragon Pathfinder és a Paragon Planner frissítésére mindenképpen szükség van, de elképzelhető, hogy további Junos alapú megoldások kapcsán is szükség lesz patch-elésre.
 
MongoDB
 
A MongoDB Atlas Search esetében is elérhetővé vált a szükséges hibajavítás.
 
Oracle
 
Az Oracle egyelőre csak annyit közölt, hogy számos terméke érintett a Log4Shell kapcsán. Részleteket későbbre ígért a vállalat.
 
VMware
 
Megközelítőleg 40 különféle VMware megoldást veszélyeztet a Log4Shell sebezhetőség. A vállalat elkezdte a frissítések letölthetővé tételét.
 
Fontos megjegyezni, hogy a Log4Shell a fentieken túl rengeteg más szoftvert és szolgáltatást érint, így most a szokásosnál is jobban érdemes figyelni az elérhetővé váló frissítések telepítésére.