Falha zero-day do Log4j: O que você precisa saber e como se proteger
A vulnerabilidade Log4j afeta tudo, desde a nuvem até ferramentas de desenvolvedor e dispositivos de segurança. Aqui está o que procurar, de acordo com as informações mais recentes.
Uma falha no Log4j, uma biblioteca Java para registrar mensagens de erro em aplicativos, é a vulnerabilidade de segurança de maior perfil na Internet atualmente e vem com uma pontuação de gravidade de 10 em 10.
A biblioteca foi desenvolvida pela Apache Software Foundation de código aberto e é uma estrutura de criação de log Java. Desde
o alerta da semana passada pelo CERT da Nova Zelândia de que
CVE-2021-44228, uma falha de execução remota de código no Log4j, já estava sendo explorada em estado selvagem, avisos foram emitidos por várias agências nacionais de segurança cibernética, incluindo a Cybersecurity and Infrastructure Security Agency (CISA ) e o National Cyber Security Center (NCSC) do Reino Unido.
O provedor de infraestrutura de Internet Cloudflare disse que as explorações do Log4j começaram em 1º de dezembro .
QUAIS DISPOSITIVOS E APLICATIVOS ESTÃO EM RISCO?
Basicamente, qualquer dispositivo exposto à Internet está em risco se estiver executando o Apache Log4J, versões 2.0 a 2.14.1. O NCSC
observa que o Log4j versão 2 (Log4j2), a versão afetada, está incluído nas estruturas Apache Struts2, Solr, Druid, Flink e Swift.
Mirai, um botnet que visa todos os tipos de dispositivos conectados à Internet (IoT), adotou um exploit para a falha.
Cisco e VMware lançaram patches para seus produtos afetados, respectivamente.
A AWS detalhou como a falha afeta seus serviços e disse que está
trabalhando na correção de seus serviços que usam Log4j e lançou atenuações para serviços como o CloudFront.
Da mesma forma, a IBM
disse que está "respondendo ativamente" à vulnerabilidade do Log4j em sua própria infraestrutura e em seus produtos. A IBM confirmou que o Websphere
8.5 e 9.0 são vulneráveis .
A Oracle também
lançou um patch para a falha .
"Devido à gravidade desta vulnerabilidade e à publicação de código de exploração em vários sites, a Oracle recomenda fortemente que os clientes apliquem as atualizações fornecidas por este Alerta de Segurança o mais rápido possível", disse.
AÇÕES NECESSÁRIAS: DESCOBERTA DE DISPOSITIVOS E PATCHING
O principal conselho da CISA é identificar os dispositivos voltados para a Internet que executam o Log4j e atualizá-los para a versão 2.15.0 ou aplicar as atenuações fornecidas pelos fornecedores "imediatamente". Mas também recomenda configurar alertas para sondagens ou ataques em dispositivos que executam Log4j.
"Para ser claro, essa vulnerabilidade representa um risco grave", disse a
diretora da CISA, Jen Easterly, no domingo. "Só minimizaremos os impactos potenciais por meio de esforços colaborativos entre o governo e o setor privado. Instamos todas as organizações a se juntarem a nós neste esforço essencial e agirem."
As etapas adicionais recomendadas pela CISA incluem: enumerar todos os dispositivos externos com Log4j instalado; garantir as ações da central de operações de segurança a cada alerta com Log4j instalado; e instalar um firewall de aplicativo da web (WAF) com regras para focar no Log4j.
A AWS atualizou seu conjunto de regras WAF - AWSManagedRulesKnownBadInputsRuleSet AMR - para detectar e mitigar tentativas de ataque e varredura Log4j. Ele também tem opções de mitigação que podem ser habilitadas para CloudFront, Application Load Balancer (ALB), API Gateway e AppSync. Também está atualizando todo o Amazon OpenSearch Service para a versão corrigida do Log4j.
O NCSC
recomenda atualizar para a versão 2.15.0 ou posterior e - onde não for possível - mitigar a falha no Log4j 2.10 e posterior definindo a propriedade do sistema "log4j2.formatMsgNoLookups" como "true" ou removendo a classe JndiLookup do classpath.
Parte do desafio será identificar o software que abriga a vulnerabilidade Log4j. O Nationaal Cyber Security Centrum (NCSC) da Holanda postou uma
lista de AZ abrangente no GitHub de todos os produtos afetados que sabe serem vulneráveis, não vulneráveis, estão sob investigação ou onde uma correção está disponível. A lista de produtos ilustra a extensão da vulnerabilidade, abrangendo serviços em nuvem, serviços para desenvolvedores, dispositivos de segurança, serviços de mapeamento e muito mais.
Fornecedores com produtos populares conhecidos como ainda vulneráveis incluem Atlassian, Amazon, Microsoft Azure, Cisco, Commvault, ESRI, Exact, Fortinet, JetBrains, Nelson, Nutanix, OpenMRS, Oracle, Red Hat, Splunk, Soft e VMware. A lista é ainda mais longa ao adicionar produtos em que um patch foi lançado.
O NCCGroup postou
várias regras de detecção de rede para detectar tentativas de exploração e indicadores de exploração bem-sucedida.
Finalmente, a Microsoft lançou seu conjunto de indicadores de comprometimento e
orientação para prevenir ataques à vulnerabilidade Log4j . Os exemplos de pós-exploração da falha que a Microsoft viu incluem a instalação de mineradores de moedas, Cobalt Strike, para permitir o roubo de credenciais e o movimento lateral, e a extração de dados de sistemas comprometidos.
The Log4j vulnerability affects everything from the cloud to developer tools and security devices. Here's what to look for, according to the latest information.
www.zdnet.com