CISA divulga diretrizes de tratamento da vulnerabilidade do Apache Log4j

CISA divulga diretrizes de tratamento da vulnerabilidade do Apache Log4j. Apache lançou o Log4j versão 2.15.0 em uma atualização de segurança para abordar esta vulnerabilidade.

A CISA e seus parceiros, por meio do Joint Cyber ​​Defense Collaborative , estão respondendo à exploração ampla e ativa de uma vulnerabilidade crítica de execução remota de código (RCE) ( CVE-2021-44228 ) na biblioteca de software Log4j da Apache, versões 2.0-beta9 a 2.14.1 , conhecido como “Log4Shell” e “Logjam”. 

O Log4j é amplamente usado em uma variedade de serviços de consumidor e corporativos, sites e aplicativos – bem como em produtos de tecnologia operacional – para registrar informações de segurança e desempenho. Um ator remoto não autenticado pode explorar esta vulnerabilidade para assumir o controle de um sistema afetado.

A Apache lançou o Log4j versão 2.15.0 em uma atualização de segurança para abordar esta vulnerabilidade. No entanto, para que a vulnerabilidade seja corrigida em produtos e serviços que usam versões afetadas do Log4j, os mantenedores desses produtos e serviços devem implementar esta atualização de segurança. Os usuários de tais produtos e serviços devem consultar os fornecedores desses produtos / serviços para atualizações de segurança. Dada a gravidade da vulnerabilidade e a probabilidade de um aumento na exploração por atores sofisticados de ameaças cibernéticas, a CISA insta os fornecedores e usuários a tomarem as seguintes medidas. 

• Vendedores
  • Imediatamente identifique, mitigue e conserte os produtos afetados usando o Log4j.
  • Informe seus usuários finais sobre produtos que contêm essa vulnerabilidade e incentive-os a priorizar as atualizações de software.
• Organizações Afetadas
  • Além das ações imediatas – para (1) enumerar dispositivos externos que têm Log4j, (2) garantir seus alertas de ações SOC nesses dispositivos e (3) instalar um WAF com regras que atualizam automaticamente – conforme indicado na caixa acima, analise o próximo repositório GitHub da CISA para obter uma lista de informações dos fornecedores afetados e aplique as atualizações de software assim que estiverem disponíveis. Consulte Ações para organizações que executam produtos com Log4j abaixo para obter orientação adicional. Nota: CISA adicionou CVE-2021-44228 ao Catálogo de Vulnerabilidades Exploradas Conhecidas , que foi criado de acordo com a Diretiva Operacional Vinculativa (BOD) 22-01: Reduzindo o Risco Significativo de Vulnerabilidades Exploradas Conhecidas. De acordo com o BOD 22-01, as agências do poder executivo civil federal devem mitigar o CVE-2021-44228 até 24 de dezembro de 2021. 

Detalhes técnicos

Esta vulnerabilidade RCE – afetando a biblioteca Log4j do Apache, versões 2.0-beta9 a 2.14.1 – existe na ação que o Java Naming and Directory Interface (JNDI) executa para resolver as variáveis. De acordo com a lista CVE-2021-44228 , as versões afetadas do Log4j contêm recursos JNDI – como substituição de pesquisa de mensagem – que “não protegem contra LDAP [Lightweight Directory Access Protocol] controlado por adversários e outros pontos de extremidade relacionados a JNDI“. 

Um adversário pode explorar esta vulnerabilidade enviando uma solicitação especialmente criada a um sistema vulnerável que faz com que esse sistema execute um código arbitrário. A solicitação permite que o adversário assuma o controle total do sistema. O adversário pode então roubar informações, iniciar ransomware ou conduzir outras atividades maliciosas. 

Ações para organizações que executam produtos com Log4j

A CISA recomenda as entidades afetadas:

• Revise a página de vulnerabilidades de segurança Log4j do Apache para obter informações adicionais e, se apropriado, aplique a solução alternativa fornecida:
  • Em versões > = 2.10 , esse comportamento pode ser atenuado definindo a propriedade do sistema log4j2.formatMsgNoLookupsou a variável de ambiente LOG4J_FORMAT_MSG_NO_LOOKUPScomo true.
  • Para versões de 2.7 a 2.14. 1 todos os PatternLayoutpadrões podem ser modificados para especificar o conversor de mensagem como em %m{nolookups}vez de apenas %m.
  • Para lançamentos a partir de 2,0-beta9 para 2,7, a única atenuação é remover a JndiLookupclasse de caminho de classe: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
• Aplique os patches disponíveis imediatamente . Consulte o próximo repositório GitHub da CISA para produtos afetados conhecidos e informações de patch.
  • Priorize o patching , começando com sistemas de missão crítica, sistemas voltados para a Internet e servidores em rede. Em seguida, priorize a aplicação de patches em outros ativos de tecnologia da informação e operacionais afetados. 
  • Até que os patches sejam aplicados, defina log4j2.formatMsgNoLookups-o true adicionando -Dlog4j2.formatMsgNoLookups=Trueao comando Java Virtual Machine para iniciar seu aplicativo. Observação: isso pode afetar o comportamento do registro do sistema se ele depender de pesquisas para a formatação da mensagem. Além disso, essa mitigação funcionará apenas para as versões 2.10 e posteriores. 
  • Conforme declarado acima, o BOD 22-01 instrui as agências civis federais a mitigar o CVE-2021-44228 até 24 de dezembro de 2021, como parte do Catálogo de Vulnerabilidades Exploradas Conhecidas .
• Conduza uma análise de segurança para determinar se há uma preocupação ou comprometimento da segurança. Os arquivos de log de quaisquer serviços que usam as versões afetadas do Log4j conterão cadeias de caracteres controladas pelo usuário. 
• Considere relatar os compromissos imediatamente à CISA  e ao FBI .

Recursos

Essas informações são fornecidas “no estado em que se encontram” apenas para fins informativos. A CISA não endossa nenhuma empresa, produto ou serviço mencionado abaixo.

Lista contínua de produtos e dispositivos afetados

A CISA manterá um repositório GitHub criado pela comunidade que fornece uma lista de informações publicamente disponíveis e recomendações fornecidas pelo fornecedor sobre a vulnerabilidade Log4j.

Fontes contínuas para regras de detecção 

A CISA atualizará as fontes das regras de detecção à medida que as obtiverem.

Para regras de detecção, consulte a página GitHub de Florian Roth, log4j RCE Exploitation Detection . 

Nota: devido à urgência em compartilhar essas informações, a CISA ainda não validou este conteúdo.

Para obter uma lista de hashes para ajudar a determinar se um aplicativo Java está executando uma versão vulnerável do Log4j, consulte a página GitHub de Rob Fuller, CVE-2021-44228-Log4Shell-Hashes . 

Nota: devido à urgência em compartilhar essas informações, a CISA ainda não validou este conteúdo. 

Orientação de mitigação de parceiros JCDC 

• Blog da Microsoft: Orientação para prevenção, detecção e busca para exploração do CVE-2021-44228 Log4j 2 
• Cisco Talos Intelligence Group – Comprehensive Threat Intelligence: Threat Advisory: Vulnerabilidade crítica do Apache Log4j sendo explorada em liberdade
• Blog da Palo Alto Networks: Vulnerabilidade no Apache log4j CVE-2021-4428: Análise e atenuações
• CrowdStrike blog: Log4j2 Vulnerability Analysis and Mitigation Recomendações
• Blog do IBM Security Intelligence: Como a vulnerabilidade do Log4j pode afetar você
• Blog Tenable: CVE-2021-44228: Prova de conceito para vulnerabilidade crítica de execução remota de código do Apache Log4j disponível (Log4Shell)
• Blog do Symantec Enterprise da Broadcom: conteúdo do Apache Log4j Zero-Day Being Exploited in the Wild
• Blog do Splunk: Log4Shell – Detectando a vulnerabilidade do Log4j (CVE-2021-44228) Continuação
• VMware Blog: Aviso de segurança de vulnerabilidade do Log4j: o que você precisa saber
• Investigando a vulnerabilidade CVE-2021-44228 Log4Shell: VMWare Threat Research
• Blog Cloudflare: CVE-2021-44228 – Log4j RCE mitigação de 0 dia

Recursos gerais de cibersegurança

• A Consultoria Conjunta de Segurança Cibernética – Abordagens Técnicas para Descobrir e Corrigir Atividades Maliciosas fornece orientação geral de resposta a incidentes.
• A Publicação Especial NIST 800-40 Revisão 3, Guia para Tecnologias de Gerenciamento de Patches Corporativos  oferece mais informações sobre os fundamentos das tecnologias de gerenciamento de patches empresariais.
• O Cyber ​​Essentials da CISA serve como um guia para líderes de pequenas empresas, bem como líderes de agências governamentais pequenas e locais, para desenvolver uma compreensão acionável de onde começar a implementar práticas organizacionais de segurança cibernética.
• A CISA oferece uma variedade de  serviços de higiene cibernética gratuitos – incluindo varredura de vulnerabilidade e avaliações de preparação de ransomware – para ajudar as organizações de infraestrutura crítica a avaliar, identificar e reduzir sua exposição a ameaças cibernéticas.
• Aviso da Equipe de Resposta a Emergências em Computadores da Nova Zelândia: Log4j RCE 0-Day explorado ativamente
• Alerta do Canadian Center for Cyber ​​Security: Exploração ativa da vulnerabilidade do Apache Log4j
• Alerta do National Cyber ​​Security Center do Reino Unido: vulnerabilidade do Apache Log4j (CVE-2021-44228)
• Alerta do Australian Cyber ​​Security Center:  vulnerabilidade crítica de execução remota de código encontrada na biblioteca Apache Log4j2

Fonte: CISA

Veja também:

• CISA divulga lista de 300 vulnerabilidades que precisam ser corrigidas
• Guardicore revela que apenas 2% das empresas usam segmentação para proteger todos os seus ativos essenciais
• Como desenvolver uma plataforma de “cybersecurity mesh” de alto desempenho
• Vulnerabilidade crítica CVSS 10 na biblioteca Apache Log4j
• Ministério da Saúde é atacado e site sai do ar
• Fortinet anuncia novas ofertas de serviços na AWS Marketplace
• União é condenada por se omitir em caso de coleta de dados via Windows
• Amazon AWS fica fora do ar e derruba iFood, Disney+, LoL e outros
• Quase $ 200 milhões roubados em BitMart Crypto Exchange Hack
• Como a descriptografia do tráfego de rede pode melhorar a segurança
• Plataforma de ERP anônima vazou centenas de milhares de registros
• Primeiro NG Firewall e SD-WAN segura integrados à Microsoft Azure Virtual WAN