Apache Log4j

Продукт
Разработчики: Apache Software Foundation (ASF)
Дата последнего релиза: 2021/12/14
Технологии: MDM - Master Data Management - Управление основными мастер-данными

Основная статья: Управление данными (Data management)

2022: Белый дом США собрал Microsoft, Google и IBM после обнаружения критической уязвимости в софте Apache

13 января 2022 года администрация президента США Джо Байдена провела встречу с руководителями крупных технологический компаний, федеральных ведомств и некоммерческих организаций, чтобы обсудить проблему безопасности программного обеспечения с открытым исходным кодом. Необходимость разговора представителей ИТ-бизнеса, ключевых участников сообщества Open Source и правительства назрела после обнаружения нашумевшей уязвимости в библиотеке Apache Log4j, которая стала причиной огромной волны атак на серверы по всему миру.

Мероприятие в Белом доме состоялось в формате видеоконференции. Оно проходило не как презентация, а формате группового обсуждения, при котором каждый из участников мог высказаться. В обсуждении приняли участие представители Amazon, IBM, Microsoft, Akamai, Apache Software Foundation и Linux Foundation, а также американских министерств торговли, обороны, энергетики и национальной безопасности. Встреча прошла под руководством главного советника Белого дома США по кибертехнологиям Энн Нюбергер (Anne Neuberger).

Эксперты по безопасности бьют тревогу по поводу новой критической уязвимости, обнаруженной в широко распространенной библиотеке Apache Log4j

Как пишет The Wall Street Journal, участники встречи говорили о том, что они сосредоточились на практических способах совместной работы государственного и частного секторов для повышения стандартов безопасности открытого ПО, частично опираясь на уже предпринимаемые усилия сообщества, в том числе на разработки организации Open Source Security Foundation (OpenSSF, основана в 2020 году). В состав последней входят крупные банки, ИТ-компании и исследовательские организации.

«
Мы считаем, что для дальнейшей работы требуется сотрудничество между компаниями и организациями, которые пользуются и поставляют ПО с открытым исходным кодом, — говорится в сделанном Apache Software Foundation, сделанном после разговора, организованном администрацией президента США.
»

Несколько участников встречи также выступили с заявлениями, в которых поприветствовали поддержку Белого дома вопроса безопасности открытого ПО, но предупредили о недостаточной защищенности таких продуктов.

«
Трудно представить ситуацию, при которой правительство заняло бы очень негативную позицию и заявило: «Ну, мы не можем доверять открытому ПО» или рассматривало бы Open Source как козла отпущения, - сказал технический директор Роберт Блумоф Akamai, присутствовавший на встрече.
»

Он сообщил, что участники разговора обсудили поиск способов поддержки открытого софта таким образом, чтобы не перегружать разработчиков, а фактически поддерживать их с помощью различных инструментов, образовательных и других инициатив. Метавселенная ВДНХ 3.4 т

Google предложила создать своего рода маркетплейс для подбора добровольцев в компаниях, развивающих наиболее важные для рынка проекты, которые больше всего нуждаются в поддержке. Сама Google изъявила готовность предоставить ресурсы для такой работы.

Кейси Эллис, основатель и технический директор Bugcrowd (развивает платформу для «белых» хакеров), говорит, что небольшие проекты Open Source часто поддерживаются небольшими группами добровольцев, которые работают над ними время от времени. Это создает большую угрозу для безопасности таких продуктов, считает она.

Представители ИТ-компаний и федеральных ведомств США обсудили проблему безопасности открытого ПО

При этом о каких-либо конкретных шагах, направленных на решение проблемы безопасности открытого ПО, участники знаковой встречи не договорились. Однако Белый дом намерен в ближайшие дни выдвинуть конкретные предложения, а также подготовить план следующий встречи по данному вопросу с руководителями крупных ИТ-компаний, сообщается 14 января 2022 года.

11 января 2022 года Агентство по кибербезопасности и защите инфраструктуры (CISA) заявило, что пока не обнаружило серьезных разрушительных кибератак, связанных с уязвимостями Log4j, однако признало ее серьезность.

«
Масштаб и потенциальное воздействие этой проблемы делают её невероятно серьёзной, — заявила в разговоре с журналистами глава CISA Джен Истерли (Jen Easterly), добавив, что проблема с Log4j стала «самой серьёзной уязвимостью», которую ей приходилось видеть за всю свою карьеру.[1]
»

2021: Обнаружение уязвимости, позволяющей удаленно выполнить произвольный код без аутентификации

Система управления уязвимостями MaxPatrol VM, система глубокого анализа трафика PT Network Attack Discovery и межсетевой экран уровня веб-приложений PT Application Firewall выявляют критически опасную уязвимость нулевого дня в библиотеке журналов Apache Log4j, которую используют миллионы приложений и сервисов на основе Java, корпоративное программное обеспечение и облачные серверы, а также компьютерные игры. Об этом Positive Technologies сообщила 14 декабря 2021 года. С 10 декабря 2021 года злоумышленники активно сканируют сеть в поисках уязвимых систем и атакуют ханипоты.

В одном из самых популярных в мире фреймворков для сбора журналов — библиотеке Log4j разработчика Apache Software Foundation — обнаружена уязвимость нулевого дня. Ей подвержены все версии библиотеки с 2.0-beta9 до 2.14.1. Уязвимость, получившая название Log4Shell, позволяет атакующим удаленно выполнить произвольный код без аутентификации и захватить полный контроль над уязвимыми серверами.

CVE-2021-44228 присвоен максимальный уровень опасности по шкале CVSS 3.0 — 10 баллов. Log4Shell отличает простота эксплуатации: операция по отправке в журнал одной строки кода через приложение не требует от злоумышленников особых технических навыков.

Библиотека Log4j входит в состав большинства сетевых продуктов Apache, а также используется в миллионах корпоративных приложений и веб-сервисов, разработанных на языке Java, для регистрации сообщений об ошибках. По последним данным, уязвимости подвержены облачные серверы Amazon, Apple, Baidu, Cloudflare, DiDi, Google, JD.com, Microsoft, Minecraft, NetEase, Steam, Tencent, Tesla, Twitter, VMware, а также решения тысячи других производителей ПО. Помимо этого, фреймворк активно применяют в различных проектах с открытым исходным кодом, включая Elasticsearch, Ghidra и Red Hat.

Начиная с 10 декабря 2021 года фиксируются попытки массового сканирования сети на предмет уязвимых для Log4Shell систем. Риск ее эксплуатации существенно вырос после того, как на портале GitHub был опубликован первый PoC-эксплойт. По словам экспертов Positive Technologies, в реальных атаках эта уязвимость в Apache Log4j может эксплуатироваться множеством способов, в зависимости от конкретного сервиса. В итоге под угрозой крупные организации по всему миру, сайты правительств, а также большая часть интернета.

Обнаружить киберугрозу помогут продукты Positive Technologies: три из них выявляют уязвимость Log4Shell «из коробки», то есть нынешним пользователям ничего дополнительно загружать не нужно. В частности, если база знаний MaxPatrol VM содержит обновления от 10 декабря 2021 года, уязвимые активы будут выявлены автоматически.

Межсетевой экран уровня веб-приложений PT Application Firewall (версия 3.0) обнаруживает попытку эксплуатации уязвимости как SSTI (внедрение вредоносного кода в шаблон на стороне сервера) и впоследствии блокирует ее, а версия 4.0 дополнительно определяет ее как попытку JNDI-инъекции.

Правило в PT Application Firewall позволяет обнаружить внедрение шаблонов

Эксплуатацию Log4Shell также можно обнаружить с помощью PT NAD во время анализа сетевого трафика. Для этого специалисты экспертного центра безопасности Positive Technologies добавили в продукт специальное правило детектирования.

Срабатывание правила в PT NAD при попытке эксплуатации уязвимости в библиотеке Log4j


СМ. ТАКЖЕ (6)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Datareon (Датареон) (272)
  Axelot (Акселот) (155)
  Цифра (31)
  HFLabs (ХФ Лабс), ранее HumanFactorLabs (25)
  АйТи Про (IT Pro) (21)
  Другие (277)

  Datareon (Датареон) (37)
  Axelot (Акселот) (25)
  Commvault (5)
  АйТи Про (IT Pro) (4)
  ЮниДата (UniData) (2)
  Другие (35)

  Datareon (Датареон) (41)
  Axelot (Акселот) (32)
  Цифра (7)
  HFLabs (ХФ Лабс), ранее HumanFactorLabs (5)
  Софрос (Sofros) (4)
  Другие (21)

  Datareon (Датареон) (32)
  Axelot (Акселот) (19)
  Софрос (Sofros) (9)
  Naumen (Наумен консалтинг) (3)
  DIS Group - ДИС Групп - Дата Интегрейшн Софтвер - Data Integration Software (2)
  Другие (29)

  Datareon (Датареон) (19)
  Axelot (Акселот) (7)
  GlowByte, ГлоуБайт (ранее Glowbyte Consulting, ГлоуБайт Консалтинг) (3)
  Первый Бит (3)
  Софрос (Sofros) (3)
  Другие (17)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Datareon (Датареон) (2, 418)
  Цифра (2, 36)
  Axelot (Акселот) (1, 30)
  HFLabs (ХФ Лабс), ранее HumanFactorLabs (5, 26)
  Informatica (14, 21)
  Другие (303, 227)

  Datareon (Датареон) (1, 60)
  Commvault (2, 5)
  АйТи Про (IT Pro) (1, 4)
  ЮниДата (UniData) (1, 3)
  SAP SE (1, 2)
  Другие (25, 25)

  Datareon (Датареон) (1, 71)
  Цифра (1, 7)
  HFLabs (ХФ Лабс), ранее HumanFactorLabs (3, 5)
  Axelot (Акселот) (1, 5)
  Платформа больших данных (Platforma) (1, 2)
  Другие (15, 16)

  Datareon (Датареон) (1, 57)
  Axelot (Акселот) (1, 6)
  Цифра (1, 4)
  Naumen (Наумен консалтинг) (1, 3)
  Тандер Сеть магазинов Магнит (2, 2)
  Другие (15, 16)

  Datareon (Датареон) (1, 30)
  Data Sapience (Дата Сапиенс) (2, 3)
  Axelot (Акселот) (1, 2)
  HFLabs (ХФ Лабс), ранее HumanFactorLabs (1, 2)
  Первый Бит (1, 1)
  Другие (14, 14)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Datareon Platform - 418
  Цифра: Диспетчер Система мониторинга промышленного оборудования и персонала - 36
  1С:MDM Управление нормативно-справочной информацией (1С:MDM Управление НСИ) - 30
  HFLabs Единый клиент - 23
  АйТи Про: BI.Qube - 18
  Другие 217

  Datareon Platform - 60
  Commvault Complete Data Protection - 4
  АйТи Про: BI.Qube - 4
  ЮниДата Платформа управления данными - 3
  SAP Business Technology Platform (SAP BTP) - 2
  Другие 27

  Datareon Platform - 71
  Цифра: Диспетчер Система мониторинга промышленного оборудования и персонала - 7
  1С:MDM Управление нормативно-справочной информацией (1С:MDM Управление НСИ) - 5
  HFLabs Единый клиент - 2
  HFLabs Центр управления согласиями (ЦУС) - 2
  Другие 17

  Datareon Platform - 57
  1С:MDM Управление нормативно-справочной информацией (1С:MDM Управление НСИ) - 6
  Цифра: Диспетчер Система мониторинга промышленного оборудования и персонала - 4
  Naumen Enterprise Search - 3
  N3.Управление НСИ - 2
  Другие 15

  Datareon Platform - 30
  Data Sapience: Data Ocean Платформа управления данными - 2
  1С:MDM Управление нормативно-справочной информацией (1С:MDM Управление НСИ) - 2
  HFLabs Единый клиент - 2
  SberData Platform (Платформа данных Сбера) - 1
  Другие 14