Что такое Log4j?

Лог4дж - это библиотека Java с открытым исходным кодом для функций ведения журнала, разработанная и выпущенная Apache Foundation группа. Такая библиотека используется как зависимость многих приложений и сервисов, используемых глобально в приложениях Java, поскольку она включена в несколько Фреймворки Apache как Apache Struts2, Apache Solr, Апач Друид, Apache Flink и Апач Свифт, но также используется Нетти, Мой Батис и Spring Framework.

В чем заключается уязвимость Log4j?

Приложение уязвимо, если оно передает непроверенный пользовательский ввод в библиотеку журналов Log4j уязвимых версий. Уязвимость Log4j позволяет выполнять удаленный код без аутентификации из версии 2.0-beta9 в 2.14.1. Ниже объясняется, как используется уязвимость Log4j.

Приоритетные действия для устранения рисков с помощью Log4j

Установите последние обновления, если известны экземпляры Log4j. Первый шаг - обнаружить любые экземпляры Log4j в вашей организации и применить последние обновления из официальных репозиториев.

Примените правила политики WAF для защиты развернутых приложений. Использование брандмауэров веб-приложений в вашей организации может улучшить мониторинг и блокировку использования этой уязвимости. Просто убедитесь, что вы заблокировали запросы, URL-адреса которых содержат строки вроде «jndi: ldap». Обратите внимание, что варианты могут обходить текущие правила WAF или приложения, в которых используется такая функция LDAP, могут быть недоступны. Убедитесь, что они обновлены.

Пожалуйста, подумайте об использовании ZEVENET в качестве брандмауэра веб-приложений для защиты от Log4j.

Подвержен ли ZEVENET уязвимости Log4j?

Бытовая техника ZEVENET или коммунальные услуги не затронуты поскольку фреймворки Apache не используются.

Как защитить мои приложения от уязвимости Log4j с помощью брандмауэра веб-приложений ZEVENET

После создания виртуальной службы или фермы для нашего приложения выполните следующие шаги, чтобы создать правило WAF:

Создать новый набор правил
Создать новый Действие правило в новом наборе правил. Конфигурация правила должна быть такой:

     Решение: отклонить (осталось вырезать запрос и не выполнять правила)
     Этап: получение заголовков запросов

Создайте условие в правиле со следующей конфигурацией:

     Переменные: REQUEST_URI, REQUEST_HEADERS
     Преобразования: строчные буквы, urlDecodeUni
     Оператор: strContains
     Операционная: jndi: ldap

Наконец, запустите набор правил и примените его к нужным фермам.

Обратите внимание, что с этим набором правил каждый HTTP-запрос, в котором URL-адреса и заголовки будут анализироваться в поисках уязвимой строки.