14 декабря 2021
ArcGIS и уязвимость Apache Log4j
Обновление от 24.03.2022
Esri активно исследует влияние перечисленных ниже уязвимостей библиотеки Log4j, поскольку некоторые продукты Esri содержат этот инструмент ведения журнала:
- CVE-2021-44228 – Log4j 2.x JNDILookup RCE fix 1
- Уязвимость выявлена 9.12.2021 – Критическая важность
- CVE-2021-45046 – Log4j 2.x JNDILookup fix 2
- Уязвимость выявлена 14.12.2021 – Критическая важность
- CVE- 2021-4104 – Log4j 1.2 JMSAppender
- Уязвимость выявлена 14.12.2021 – Высокая важность
- CVE-2021-45105 – Log4j 2.x Context Lookups DoS
- Уязвимость выявлена 18.12.2021 – Высокая важность
- CVE-2021-44832 – Log4j 2.x JDBCAppender
- Уязвимость выявлена 28/12/21 – Средняя важность
- CVE-2022-23305 – Log4j 1.2.x JDBCAppender
- Уязвимость выявлена 18.01.2022 – Критическая важность
- CVE-2022-23302 – Log4j 1.2.x JMSSink
- Уязвимость выявлена 18.01.2022 – Высокая важность
- CVE-2022-23307 – Log4j 1.2.x Chainsaw
- Уязвимость выявлена 18.01.2022 – Критическая важность
Оригинал этой статьи содержит самую свежую информацию о продуктах Esri и будет обновляться по мере появления новой информации.
В руководстве Joint Cybersecurity Advisory, предоставленном организациями по кибербезопасности со всего мира, содержится полезное руководство по уязвимостям Log4j, которое можно использовать в дополнение к рекомендациям Esri по конкретным продуктам. При анализе ситуации следует рассмотреть два аспекта: механизмы предупреждения и механизмы блокировки этой проблемы. Чтобы упростить реализацию рекомендованного CISA механизма защиты с помощью брандмауэра веб-приложений (WAF) для продуктов Esri, Esri предоставляет руководство по правилам фильтрации веб-приложений, расположенное в области документов, доступных для клиентов в ArcGIS Trust Center.
Отметим, что меры предупреждения уязвимости разработаны в соответствии с руководством Emergency Directive 22-02 Mitigate Apache Log4 Vulnerability.
ArcGIS Enterprise
Некоторые компоненты ArcGIS Enterprise содержат уязвимые версии библиотеки Log4j, однако в настоящее время нет кода эксплойта, реализующего уязвимость, доступного для какой бы то ни было версии базового развертывания ArcGIS Enterprise (включая компоненты ArcGIS Server, Portal for ArcGIS и ArcGIS Data Store) или отдельно используемого ArcGIS Server.
Специалисты компании Esri оценили потенциальное влияние уязвимости CVE-2021-45105. Уязвимость связана с тем, что Log4j не всегда защищает от бесконечной рекурсии, что приводит к отказу в обслуживании. Изучив влияние уязвимости на Portal for ArcGIS, ArcGIS Server и ArcGIS Data Store, специалисты компании Esri определили, что эти программные компоненты не используют необходимые макеты шаблонов, чтобы злоумышленники могли воспользоваться данной уязвимостью.
Из осторожности, Esri создал сценарии устранения рисков Log4Shell и активно выпускает обновления, которые следует устанавливать на ваши системы:
- ArcGIS Server – для ArcGIS Server выпущены обновления для версий 10.7.1, 10.8.1, 10.9, 10.9.1, ArcGIS GeoAnalytics Server и ArcGIS Image Server
- Portal for ArcGIS: выпущены обновления для версий 10.6, 10.6.1, 10.7.1, 10.8.1, 10.9, 10.9.1
- ArcGIS Data Store: выпущены обновление для версии 10.6, 10.6.1, 10.7.1, 10.8.1, 10.9, 10.9.1
- ArcGIS GeoEvent Server
- ArcGIS Workflow Manager Server
- ArcGIS GeoEnrichment Server
Примечания:
- Пожалуйста, устанавливайте обновления для конкретных компонентов ArcGIS Enterprise по мере их выхода. Обновления для всех компонентов будут доступны в разное время. Файлы с резервными копиями, созданные скриптами для устранения рисков, можно будет удалить после установки обновлений.
- Базовые компоненты ArcGIS Enterprise не используют и поэтому не являются уязвимыми для
- Log4j 1.2 JMSAppender – CVE-2021-4104
- Log4j 2.x JDBCAppender – CVE-2021-44832.
- ArcGIS Web Adaptor не использует ядро Log4j и поэтому не является уязвимым.
- Расширение ArcGIS Server Data Interoperability содержит компоненты Log4j 2.x, которые можно обновить на новую версию Log4j в соответствии с руководством Safe Software’s guidance (таким же образом, как описано в руководстве для Desktop, см. ниже). В зависимости от версии Data Interoperability, компоненты Log4j могут быть обновлены в следующих двух папках ArcGIS Server (если они доступны):
- 1) <DataInterOpExtInstall>/Program Files 64/Esri/Data Interoperability/plugins ,
- 2) <DataInterOpExtInstall>/Program Files 64/Esri/Data Interoperability/Data Interoperability AO11/plugins
ArcGIS Notebook Server
Продукт состоит из двух компонентов, базовой платформы и образа контейнера Docker:
- Базовая структура не содержит Log4j, за исключением версии 10.7.x продукта, но эта версия НЕ включает уязвимый класс JMSAppender, и поэтому этот компонент также НЕ является уязвимым для CVE 2021-44228, 2021-45046, 2021-4104.
- Образ контейнера Docker содержит Log4j, однако для того, чтобы злоумышленник мог выполнить соответствующий код, злоумышленнику должны быть предоставлены разрешения для контейнера Notebook Server, поэтому Log4j не представляет дополнительного риска удалённого выполнения кода (RCE – Remote Code Execution) в этой конфигурации. Обновления для образов контейнеров Docker будут доступны в ближайшее время.
ArcGIS Online
Несмотря на то, что в настоящее время нет кода эксплойта, реализующего уязвимость Log4j, из соображений предосторожности были выполнены исправления и обновления для устранения уязвимого кода из системы SaaS (предоставление ПО в виде сервиса), сертифицированной в рамках Федеральной программы управления рисками и авторизацией (FedRAMP).
Управляемые облачные сервисы Esri (Esri Managed Cloud Services)
В EMCS Advanced и Advanced+ реализованы фильтры сетевой защиты от уязвимостей Log4j. Также использованы скрипты для удаления класса JNDILookup для всех потенциально уязвимых систем, согласно рекомендациям из этой статьи.
ArcMap
ArcMap не использует Log4j и поэтому не является уязвимым для CVE, указанных в этой статье. Обратите внимание на информацию по дополнительным модулям, которые устанавливаются отдельно.
ArcGIS Monitor
ArcGIS Monitor не использует Log4j и поэтому не является уязвимым для CVE, указанных в этой статье.
ArcGIS Pro
Последние версии ArcGIS Pro содержат Log4j, но, как известно, не могут быть использованы, поскольку это программное обеспечение не отслеживает внешний трафик.
- Патчи ArcGIS Pro 2.7.6, 2.8.6, 2.9.2 и выше обновляют все компоненты Log4j 2.x до версии 2.17.1 и удаляют все уязвимые Log4j 1.2.x классы.
ArcGIS Pro при установке по умолчанию включает Log4j для поддержки двух функциональных областей:
Инструменты ArcGIS Pro GeoAnalytics Desktop Tools
- Обновления 2.7.6, 2.8.6, 2.9.2 и выше, для ArcGIS Pro устраняют уязвимости путем обновления Log4j до версии 2.17.1. Обновления доступны на сайте My Esri.
- Обновления 2.7.6, 2.8.6, 2.9.2 и выше, для ArcGIS Pro устраняют уязвимости путем обновления Log4j до версии 2.17.1. Обновления доступны на сайте My Esri.
Обратите внимание на информацию по дополнительным модулям, которые устанавливаются отдельно.
Модули расширения для настольного ПО
Модуль расширения ArcGIS Pro Data Interoperability
- Обновления доступны для версий 2.7, 2.8, 2.9. Скачать обновления можно на сайте My Esri.
- Модуль расширения ArcGIS Pro Data Interoperability конкретной версии должен быть установлен перед установкой соответствующего обновления.
Модуль расширения ArcMap Data Interoperability
- Базовый компонент Log4j не включает уязвимый класс JMSAppender и, следовательно, НЕ является уязвимым для CVE’s 2021-44228, 2021-45046, 2021-4104.
- Esri выпустит соответствующее обновление для модуля расширения Data Interoperability.
License Manager
Этот компонент использует компоненты от компании Flexera, но компания Esri не включила в своё ПО уязвимые файлы примеров, которые упомянуты компанией Flexera в своем заявлении по поводу Log4j. Поскольку библиотека Log4j не включена в Esri License Manager, этот продукт не является уязвимым для указанных в этой статье CVE.
Esri Geoportal Server
Для решения проблем с Log4j этот продукт с открытым исходным кодом был обновлен 17 декабря до версии 2.6.5. Пожалуйста, обновите Esri Geoportal Server до последней версии.
Проверка средств устранения уязвимости и ложных срабатываний сканера безопасности
Tenable security scanner — может использовать множество подключаемых модулей, помогающих обнаруживать проблемы с Log4j, однако плагин по умолчанию 156002 проверяет только версии Log4j и, следовательно, создает ложноположительное критическое предупреждение для клиентов, которые использовали сценарии устранения рисков от Esri. Вместо использования плагина 156002 администраторам ГИС следует указать своим службам безопасности на раздел «Порты» плагина 156001, так как он правильно определяет, был ли критически уязвимый код удален из Log4j, в этом случае он будет показывать:
JndiLookup.class association : Not Found.
LogPresso Log4j Scanner — этот бесплатный инструмент, указанный Центром интернет-безопасности для выявления проблем Log4j, который правильно определяет, защищены ли компоненты ArcGIS Enterprise Log4j от критических уязвимостей при использовании настроек по умолчанию. Инструмент не требует установки, изначально работает в Windows или Linux, обычно сканирование продуктов ArcGIS занимает менее двух минут, и его можно запустить из командной строки, просто указав каталоге установки (target_path) продукта ArcGIS следующим образом:
log4j2-scan target_path
Суть в том, что некоторые сканеры безопасности по умолчанию выполняют элементарную проверку проблем безопасности Log4j, что приводит к ложным срабатываниям даже после запуска сценариев смягчения последствий от Esri. Чтобы избежать ложных срабатываний, убедитесь, что сканер правильно настроен, и убедитесь, что специалисты по безопасности правильно анализируют результаты местоположения/плагина — или используйте более простой инструмент, специально созданный для проверки уязвимости Log4j.
Проблемы с ArcGIS? Мы на связи:
Отправить запрос через форму на сайте
и мы свяжемся с вами
Напишите нам
support@esri-cis.com
Позвоните нам
Задать вопрос по телефону