KPMG активно відстежує поточну загрозу безпеці, оприлюднену The Apache Software Foundation («ASF») у п’ятницю, 10 грудня 2021 року. ASF оголосив громадськості, що популярна бібліотека журналювання Log4j Logging Services, яка надає можливості реєстрації подій для Javaзастосунків, є вразливою до несанкціонованого віддаленого виконання коду (RCE). Вразливість, названа Log4Shell, отримала код CVE-2021-44228 для цілей відстеження і була визнана критичною за рівнем небезпеки. Загальна система оцінки вразливості (CVSS) присвоїла Log4Shell найвищий рейтинг небезпеки 10.0, частково через широке використання Log4j та легкість, з якою зловмисник може здійснити експлойт. Уразливість дозволяє зловмиснику виконувати код на віддаленому сервері без автентифікації. Для того, щоб позбутися вразливості з кодом CVE-2021- 44228, ASF здійснив реліз версії 2.15.0 бібліотеки Log4j. Незабаром після цього була випущена версія 2.16.0, яка мала позбутися ще однієї подібної вразливості бібліотеки Log4j (CVE-2021- 45046), а також нейтралізувати ряд обхідних технік, які були виявлені під час ранніх спроб зловмисників здійснити сканування та експлуатацію вразливості в Інтернет. Організаціям наполегливо рекомендується негайно оновити Log4j, щоб знизити існуючу загрозу. На момент публікації матеріалу найбільш актуальною версією бібліотеки є 2.17.0. Більш детально - у розділі "Зниження ризиків та відновлення".
До оголошення ASF численні компанії, що надають послуги з безпеки, та незалежні дослідники проблем кібербезпеки повідомили про активне сканування та спроби експлуатації вразливості Log4j. Серед них - Агентство з кібербезпеки та інфраструктури Міністерства національної безпеки США (CISA) і Національні команди з реагування на комп’ютерні надзвичайні події (CERT) Австрії, Нової Зеландії та Сингапуру. Ряд агентств національної безпеки, включаючи CISA, опублікували рекомендації з безпеки та бюлетені, що включають детальну інформацію, яку компанії можуть використовувати для того, щоб допомогти визначити, чи можуть вони зазнати впливу внаслідок вразливості Apache Log4j.
Що робити перш за все? Як виявити? Як знизити ризики? Завантажуйте pdf та дізнайтесь рекомендації експертів KPMG.
