Frissítve: 2021.12.20.
Egy újabb sérülékenység vált ismertté a Log4j könyvtárt illetően. A CVE-2021-45105 számon nyilvántartott hiba sikeres kihasználás esetén szolgáltatás megtagadásos kondíciót (DoS) eredményezhet, amelyben a 2.16-os verzió is érintett, ezért az Apche Foundation újabb hibajavítást adott ki (2.17.0).
Frissítve: 2021.12.16.
Az NBSZ NKI rendkívüli tájékoztatót adott ki a Log4Shell sérülékenység kihasználásával történő ransomware és más káros kódokat felhasználó támadásokkal kapcsolatban. A rendkívüli tájékoztató az NBSZ NKI weboldalán itt érhető el: https://nki.gov.hu/figyelmeztetesek/tajekoztatas/rendkivuli-tajekoztato-ransomware-malware-terjesztes-a-log4shell-serulekenyseg-kihasznalasaval-kapcsolatban/
Az NBSZ NKI 2021.12.11-én riszatást adott ki az Apache Log4j könyvtárt érintő kritikus kockázati besorolású sérülékenységről (Log4Shell – CVE-2021-44228), amit több millió alkalmazás használ hibaüzenetek naplózására. A riasztás elérhető itt: [https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-apache-log4j-konyvtart-erinto-kritikus-serulekenyseggel-kapcsolatban/]
Az Apche időközben már egy új verziót is kiadott (2.16.0), ugyanis kiderült, hogy a korábbi javítás egyes nem alapértelmezett konfigurációk alkalmazásakor nem nyújt megfelelő védelmet, és szolgáltatás megtagadás (DoS) támadáshoz használható fel. A hiba CVE-2021-45046 számon került nyilvántartásba.
Az ipari rendszerek Log4Shell kitettségével összefüggésben a SeConSys néhány fontos elemzésre hívja fel a figyelmet.
További hasznos információk a sérülékenységgel kapcsolatban:
- Az Apache által kiadott biztonsági ismertetők elérhetősége: https://logging.apache.org/log4j/2.x/security.html#Fixed_in_Log4J_2.15.0, https://issues.apache.org/jira/browse/LOG4J2-3208
- Az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynöksége (CISA) folyamatosan frissülő online útmutatója itt: https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
- A Microsoft biztonsági útmutatója innen érhető el: https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
- A CISA egy Git repositoryt is létrehozott, amelyben az érintett termékeket listázzák: https://github.com/cisagov/log4j-affected-db
- A holland kibervédelmi központ (NCSC-NL) hasonló gyűjteménye innen érhető el: https://github.com/NCSC-NL/log4shell/tree/main/software
- A Log4Shellt kihasználó támadások indikátorait tartalmazó gyűjtemény: https://github.com/curated-intel/Log4Shell-IOCs
