CISA divulga diretrizes de tratamento da vulnerabilidade do Apache Log4j

CISA divulga diretrizes de tratamento da vulnerabilidade do Apache Log4j. Apache lançou o Log4j versão 2.15.0 em uma atualização de segurança para abordar esta vulnerabilidade.

A CISA e seus parceiros, por meio do Joint Cyber ​​Defense Collaborative , estão respondendo à exploração ampla e ativa de uma vulnerabilidade crítica de execução remota de código (RCE) ( CVE-2021-44228 ) na biblioteca de software Log4j da Apache, versões 2.0-beta9 a 2.14.1 , conhecido como “Log4Shell” e “Logjam”. 

O Log4j é amplamente usado em uma variedade de serviços de consumidor e corporativos, sites e aplicativos – bem como em produtos de tecnologia operacional – para registrar informações de segurança e desempenho. Um ator remoto não autenticado pode explorar esta vulnerabilidade para assumir o controle de um sistema afetado.

A Apache lançou o Log4j versão 2.15.0 em uma atualização de segurança para abordar esta vulnerabilidade. No entanto, para que a vulnerabilidade seja corrigida em produtos e serviços que usam versões afetadas do Log4j, os mantenedores desses produtos e serviços devem implementar esta atualização de segurança. Os usuários de tais produtos e serviços devem consultar os fornecedores desses produtos / serviços para atualizações de segurança. Dada a gravidade da vulnerabilidade e a probabilidade de um aumento na exploração por atores sofisticados de ameaças cibernéticas, a CISA insta os fornecedores e usuários a tomarem as seguintes medidas. 

  • Vendedores
    • Imediatamente identifique, mitigue e conserte os produtos afetados usando o Log4j.
    • Informe seus usuários finais sobre produtos que contêm essa vulnerabilidade e incentive-os a priorizar as atualizações de software.
  • Organizações Afetadas

Detalhes técnicos

Esta vulnerabilidade RCE – afetando a biblioteca Log4j do Apache, versões 2.0-beta9 a 2.14.1 – existe na ação que o Java Naming and Directory Interface (JNDI) executa para resolver as variáveis. De acordo com a lista CVE-2021-44228 , as versões afetadas do Log4j contêm recursos JNDI – como substituição de pesquisa de mensagem – que “não protegem contra LDAP [Lightweight Directory Access Protocol] controlado por adversários e outros pontos de extremidade relacionados a JNDI“. 

Um adversário pode explorar esta vulnerabilidade enviando uma solicitação especialmente criada a um sistema vulnerável que faz com que esse sistema execute um código arbitrário. A solicitação permite que o adversário assuma o controle total do sistema. O adversário pode então roubar informações, iniciar ransomware ou conduzir outras atividades maliciosas. 

Ações para organizações que executam produtos com Log4j

A CISA recomenda as entidades afetadas:

  • Revise a página de vulnerabilidades de segurança Log4j do Apache para obter informações adicionais e, se apropriado, aplique a solução alternativa fornecida:
    • Em versões > = 2.10 , esse comportamento pode ser atenuado definindo a propriedade do sistema log4j2.formatMsgNoLookupsou a variável de ambiente LOG4J_FORMAT_MSG_NO_LOOKUPScomo true.
    • Para versões de 2.7 a 2.14. 1 todos os PatternLayoutpadrões podem ser modificados para especificar o conversor de mensagem como em %m{nolookups}vez de apenas %m.
    • Para lançamentos a partir de 2,0-beta9 para 2,7, a única atenuação é remover a JndiLookupclasse de caminho de classe: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
  • Aplique os patches disponíveis imediatamente . Consulte o próximo repositório GitHub da CISA para produtos afetados conhecidos e informações de patch.
    • Priorize o patching , começando com sistemas de missão crítica, sistemas voltados para a Internet e servidores em rede. Em seguida, priorize a aplicação de patches em outros ativos de tecnologia da informação e operacionais afetados. 
    • Até que os patches sejam aplicados, defina log4j2.formatMsgNoLookups-o true adicionando -Dlog4j2.formatMsgNoLookups=Trueao comando Java Virtual Machine para iniciar seu aplicativo. Observação: isso pode afetar o comportamento do registro do sistema se ele depender de pesquisas para a formatação da mensagem. Além disso, essa mitigação funcionará apenas para as versões 2.10 e posteriores. 
    • Conforme declarado acima, o BOD 22-01 instrui as agências civis federais a mitigar o CVE-2021-44228 até 24 de dezembro de 2021, como parte do Catálogo de Vulnerabilidades Exploradas Conhecidas .
  • Conduza uma análise de segurança para determinar se há uma preocupação ou comprometimento da segurança. Os arquivos de log de quaisquer serviços que usam as versões afetadas do Log4j conterão cadeias de caracteres controladas pelo usuário. 
  • Considere relatar os compromissos imediatamente à CISA  e ao FBI .

Recursos

Essas informações são fornecidas “no estado em que se encontram” apenas para fins informativos. A CISA não endossa nenhuma empresa, produto ou serviço mencionado abaixo.

Lista contínua de produtos e dispositivos afetados

A CISA manterá um repositório GitHub criado pela comunidade que fornece uma lista de informações publicamente disponíveis e recomendações fornecidas pelo fornecedor sobre a vulnerabilidade Log4j.

Fontes contínuas para regras de detecção 

A CISA atualizará as fontes das regras de detecção à medida que as obtiverem.

Para regras de detecção, consulte a página GitHub de Florian Roth, log4j RCE Exploitation Detection . 

Nota: devido à urgência em compartilhar essas informações, a CISA ainda não validou este conteúdo.

Para obter uma lista de hashes para ajudar a determinar se um aplicativo Java está executando uma versão vulnerável do Log4j, consulte a página GitHub de Rob Fuller, CVE-2021-44228-Log4Shell-Hashes . 

Nota: devido à urgência em compartilhar essas informações, a CISA ainda não validou este conteúdo. 

Orientação de mitigação de parceiros JCDC 

Recursos gerais de cibersegurança

Fonte: CISA

Veja também:

Sobre mindsecblog 1873 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Apache desativa recurso do Log4j na versão 2.16

Deixe sua opinião!