Помощь в борьбе с Log4Shell: сделали сканер для Log4j

Log4Shell — это критическая уязвимость в библиотеке логирования Log4j, которую используют многие веб-приложения на Java.

Чтобы защититься от атак с использованием Log4Shell, надо знать, какие приложения уязвимы — а это трудно выяснить. Мы упростили задачу: разработали и выложили на GitHub специальный сканер.

Log4Shell — это критическая уязвимость в библиотеке логирования Log4j, которую используют многие веб-приложения на Java. Эксплуатация уязвимости приводит к удаленному выполнению кода (RCE), эксплоит уже опубликован, и ему подвержены все версии библиотеки до 2.15.0.

Проблема. По описанию уязвимости понятно: ситуация серьезная, нужно срочно защищаться от атак с ее использованием. Однако не существует быстрого способа выяснить, каким именно приложениям нужны меры защиты.

• В интернете можно найти списки затронутого ПО. Но что делать, если в вашей организации есть собственные сервисы, которые могут использовать Log4j?
• Сканирование внешних адресов ваших сервисов даст только приблизительное понимание. Дело в том, что уязвимость Log4Shell может проявляться при логировании чего угодно — от заголовка User-Agent до значения, который пользователь вводит в форму в любой момент после аутентификации. Не факт, что сканер доберется до уязвимости. А вот злоумышленники вполне могут на нее наткнуться.

Решение команды BI.ZONE. Мы разработали и выложили на GitHub собственный сканер на основе YARA-правила. Он сканирует память процессов Java на наличие сигнатур библиотеки Log4j. При этом сканирование идет не снаружи, а изнутри — то есть не из сети, а прямо на хосте.

На выходе вы получите перечень хостов, на которых есть приложения с Log4j, и сможете проверить версию библиотеки.

А если версия окажется уязвимой, защититься от внешних атак с использованием Log4j поможет облачный сервис BI.ZONE WAF. Он не освободит от необходимости установить патчи, но снизит риск успешной эксплуатации Log4Shell.