V posledních dnech se objevilo několik alarmujících titulků o zneužití Log4J Shell. Tyto titulky pochopitelně vyvolaly značné obavy bezpečnostních týmů po celém světě, včetně zde na OpenVPN.
Zatímco mnoho společností řešilo dotazy svých zákazníků, my jsme nebyli jiní. Lístky podpory přišly zaplaveny od dotčených zákazníků, kteří používají naše komerční řešení zabezpečení softwaru OpenVPN Cloud a Access Server.
„S radostí potvrzujeme, že naše produkty nejsou ovlivněny exploitem Log4Shell,“ říká Robert Weiss, vedoucí informační bezpečnosti v OpenVPN.
Produkty a služby OpenVPN NEJSOU ovlivněny exploitem Log4Shell.
Naše vlastní hostované řešení Access Server nepoužívá Javu, a proto není ovlivněno protokolem Log4j. Uživatelé nepotřebují žádné opravy ani aktualizace. Totéž platí pro naše cloudové řešení OpenVPN Cloud. K ochraně proti zneužití Log4j u žádného z našich produktů nejsou potřeba žádné záplaty.
Knihovna Log4j je široce používaná a snadno zneužitelná. “ Zranitelnost Log4j ukazuje, že ani provádění každodenní bezpečnostní hygieny by k vaší ochraně nestačilo. Organizace potřebují mít schopnost monitorovat, detekovat a reagovat na hrozby a incidenty,“ vysvětluje Weiss.
Uživatelé OpenVPN Cloud mohou využít funkci Cyber Shield k detekci a blokování provozu, který se pokouší zneužít zranitelnost Log4j. Cyber Shield Traffic Filtering, pokud je nakonfigurován tak, aby blokoval kategorii hrozeb Zranitelnost/zneužití nebo všechny kritické a vysoce závažné hrozby, ochrání veškerý provoz procházející přes OpenVPN Cloud proti zranitelnosti Log4j (CVE-2021-44228). Zde se můžete dozvědět více o Cyber Shield a jak jej nakonfigurovat.
„Každý přebírá riziko od organizací, se kterými spolupracuje, a od softwaru, který nasazuje. Je to sdílená odpovědnost a my musíme chránit a zabezpečit celý ekosystém,“ říká Weiss.
Zde je nejnovější informace o využití Log4Shell:
Co je to Log4Shell Exploit?
Zranitelnost Apache Log4J2, běžněji známá jako „Log4Shell“ nebo „Log4j“, lze zneužít k dálkovému ovládání zranitelných systémů. Exploit se původně objevil na stránkách hostujících servery Minecraft. Podle americké Agentury pro kybernetickou bezpečnost a bezpečnost (CISA) „Apache Software Foundation vydala bezpečnostní upozornění, které řeší zranitelnost vzdáleného spuštění kódu (CVE-2021-44228) ovlivňující Log4j verze 2.0-beta9 až 2.14.1. Vzdálený útočník by mohl tuto chybu zabezpečení zneužít k převzetí kontroly nad postiženým systémem. Log4j je open-source protokolovací nástroj založený na Javě široce používaný podnikovými aplikacemi a cloudovými službami.“
Koho se týká Log4Shell?
V žádném případě nesnižujeme závažnost této hrozby. Jak uvádí Security Boulevard, „... jak říká většina twitterových a bezpečnostních expertů:tato zranitelnost je špatná. Opravdu špatné. Tento záznamník provozuje mnoho předních webových stránek.“
Pokud toto čtete, jste pravděpodobně zákazník OpenVPN; chceme vás ujistit, že naše komerční řešení nebyla ovlivněna .