Помощь в борьбе с Log4Shell: сделали сканер для Log4j
Проблема
По описанию уязвимости понятно: ситуация серьезная, нужно срочно защищаться от атак с ее использованием. Однако не существует быстрого способа выяснить, каким именно приложениям нужны меры защиты.
- В интернете можно найти списки затронутого ПО. Но что делать, если в вашей организации есть собственные сервисы, которые могут использовать Log4j?
- Сканирование внешних адресов ваших сервисов даст только приблизительное понимание. Дело в том, что уязвимость Log4Shell может проявляться при логировании чего угодно — от заголовка User-Agent до значения, который пользователь вводит в форму в любой момент после аутентификации. Не факт, что сканер доберется до уязвимости. А вот злоумышленники вполне могут на нее наткнуться.
Решение команды BI.ZONE
Мы разработали и выложили на GitHub собственный сканер на основе YARA-правила. Он сканирует память процессов Java на наличие сигнатур библиотеки Log4j. При этом сканирование идет не снаружи, а изнутри — то есть не из сети, а прямо на хосте.
На выходе вы получите перечень хостов, на которых есть приложения с Log4j, и сможете проверить версию библиотеки.
А если версия окажется уязвимой, защититься от внешних атак с использованием Log4j поможет облачный сервис BI.ZONE WAF. Он не освободит от необходимости установить патчи, но снизит риск успешной эксплуатации Log4Shell.