Esta semana, falaremos sobre a evolução das vulnerabilidades de Log4j2 e algumas medidas de mitigação úteis que você pode usar para se proteger contra elas.
A Evolução da Vulnerabilidade
As vulnerabilidades do "Log4Shell" começaram com a descoberta de uma vulnerabilidade crítica de execução de código remoto na forma como o Log4j2 lidava com as buscas enquanto registrava eventos nos sistemas afetados. Esta vulnerabilidade crítica(CVE-2021-44228) pontuou 10 em 10 no CVSS. Apache declarou que as versões 1.x do Log4j eram menos vulneráveis a esta descoberta, já que o JNDI precisaria ser habilitado deliberadamente. Apache lançou a versão 2.15.0 para lidar com esta vulnerabilidade.
Depois que Apache lançou métodos de mitigação para usuários que não puderam atualizar o Log4j2 para a versão 2.15.0, outra vulnerabilidade foi descoberta graças à atenção que este projeto de código aberto recebeu por estar aos olhos do público. Esta vulnerabilidade(CVE-2021-45046) foi inicialmente uma vulnerabilidade do DOS que teve uma pontuação de 3.7 em 10, mas depois também foi declarada uma vulnerabilidade crítica de execução de código, e a pontuação foi aumentada para 9 em 10 no CVSS. Apache declarou que as versões 1.x não eram vulneráveis e recomendou aos usuários de Log4j2 que atualizassem para a versão 2.16.0 para resolver este segundo problema. O método de remoção da classe JNDI Lookup foi recomendado para usuários que não conseguiam atualizar.
Depois veio a terceira vulnerabilidade. Embora (a partir de 22 de dezembro) não haja menção à execução de código remoto na página de segurança do Log4j2 versão 2.16.0, esta vulnerabilidade(CVE-2021-45105) foi pontuada 7,5 em 10 no CVSS, e só poderia causar um ataque de negação de serviço em sistemas vulneráveis. Apache lançou a versão 2.17.0 e recomendou que seus usuários atualizassem para resolver o problema. Eles também compartilharam novas medidas de mitigação para os usuários que não podem atualizar.
É importante notar que estas vulnerabilidades estavam sendo exploradas ou tentadas durante as fases de descoberta e mitigação. De acordo com o 360 Netlab Blog, várias famílias de malware tentaram se propagar usando estas vulnerabilidades. Os atores maliciosos que exploraram com sucesso a vulnerabilidade foram vistos implantando garimpeiros de moedas e instalando resgates. Estes relatórios sublinham a importância de mitigar estas vulnerabilidades o mais rápido possível.
Métodos Oficiais de Mitigação
De acordo com a página de segurança do Log4j2, a atualização do componente para 2,17 atenua as três questões de segurança conhecidas. Para as pessoas que não podem atualizar seu Log4j2, Apache recomendou a remoção da classe JNDI Lookup de seu vulnerável arquivo log4j2-core-*.jar. Entretanto, isto não é suficiente para mitigar a vulnerabilidade de Negação de Serviço descoberta mais recentemente(CVE-2021-45105). Você pode mitigar esta vulnerabilidade do DOS alterando o PatternLayout na configuração de registro. Você pode ler Apache's Log4j2 página de segurança ligada no início deste parágrafo para saber mais sobre os detalhes destes métodos de mitigação.
Encontrar Componentes Vulneráveis
Se você estiver procurando componentes vulneráveis, você pode usar as Log4j-Tools fabricadas pela jfrog. As ferramentas neste repositório são úteis quando se procura por chamadas vulneráveis do Log4j JNDI Lookup em uma base de código onde você não tem certeza se um pedaço de código chama o Log4j para funcionar. Ele também pode ajudá-lo a determinar o status de vulnerabilidade de arquivos locais. Você também pode verificar as regras de uso e exploração do Log4j pelo Cisco CX Security Labs para verificar seus arquivos locais com regras YARA para determinar se um arquivo contém as classes Java vulneráveis; embora este método possa fornecer resultados mais rápidos, pode resultar em mais falsos positivos; entretanto, estas regras também podem ajudá-lo a localizar componentes dependentes do Log4j.
O repositório Log4Shell Hashes da mubix contém hashes MD5, SHA1, e SHA256 dos arquivos log4j2-core vulneráveis à vulnerabilidade RCE crítica inicial(CVE-2021-44228). Finalmente, você pode verificar o banco de dados de software vulnerável da CISA (aplicável apenas ao CVE-2021-44228) para obter uma lista abrangente de software vulnerável por fornecedor.
Proteção contra ataques
Se você não puder atualizar sua instalação do Log4j2 e se estiver usando o Fail2Ban em seu servidor, o Fail2Ban regex contra o Log4Shell por Jay Gooby pode ajudá-lo a bloquear as tentativas do Log4Shell. Se você estiver usando o CloudFlare, você pode usar suas regras WAF para se proteger contra estes ataques. Entretanto, de acordo com o conselho da CISA, é encorajado a atualizar para Log4j 2.17.0 ou aplicar as mitigações recomendadas imediatamente. Também é importante consultar as declarações do fornecedor sobre outros softwares que utilizam o Log4j2, já que alguns softwares podem vir com uma versão vulnerável do Log4j que pode precisar de atenção.
Encontrando COI & Scanning
Se você estiver procurando indicadores de comprometimento em seus registros, pode ser difícil determinar se houve tentativas de explorar esta vulnerabilidade, principalmente porque há muitas cargas úteis diferentes que podem ser enviadas para explorar o conhecido vetor de ataque JNDI. Um atacante pode codificar as cordas na carga útil, ofuscá-las ou torná-las difíceis de serem capturadas quando se procura cargas úteis simples. É aqui que o Log4Shell-Rex por back2root pode vir a ser útil. Log4Shell-Rex é uma expressão regular criada para combinar possíveis cargas úteis maliciosas codificadas com diferentes métodos. Você pode usá-lo em seus arquivos de log locais ou usá-lo em seu SIEM para combinar resultados. Entretanto, deve-se observar que a busca com este regex (com qualquer regex para esse fim) pode gerar falsos positivos ou falsos negativos.
Você também pode verificar a ferramenta Log4j-scan da FullHunt que pode ajudar na descoberta e no fuzzing da vulnerabilidade RCE(CVE-2021-44228), você também pode usar esta ferramenta para testar os desvios do WAF para obter resultados de varredura mais abrangentes.
Esperamos ajudar nossos clientes, compartilhando informações úteis nestes digestores de segurança. Como sempre, sinta-se à vontade para compartilhar seus pensamentos, deixando um comentário abaixo.
Comentários