CVE-2021-44228 – Status e aviso sobre a vulnerabilidade do Log4j
Fundo
Uma vulnerabilidade crítica de execução remota de código na popular biblioteca Apache Foundation Log4j continua a ser explorada na Internet, à medida que as organizações lutam para corrigir esse problema. Essa vulnerabilidade, rastreada como CVE-2021-44228,
receberam uma pontuação de gravidade CVSS de um máximo de 10,0. Apache Foundation Log4j é uma biblioteca de log projetada para substituir o pacote log4j integrado. É frequentemente usado em projetos Java populares, como Apache Struts 2 e Apache Solr. Da mesma maneira,
essa biblioteca também pode ser usada como dependência por uma variedade de aplicativos da Web encontrados em ambientes corporativos, incluindo Elastic. Devido à natureza dessa vulnerabilidade, as organizações devem identificar e corrigir os produtos afetados
e implementar soluções de mitigação o mais rápido possível.
Etapas de ação da Black Box
A Black Box tomou várias medidas para mitigar a vulnerabilidade do Log4j em vários níveis e está monitorando continuamente a situação.
- A Black Box atualizou suas plataformas de segurança de endpoint e DNS/Secure Internet Gateway com todos os IPs e URLs listados, etc., conforme mencionado no IOC's . Isso protege qualquer ataque baseado na Internet específico para o log4j vindo
pela rota da internet.
- A Black Box está garantindo que todos os hosts da Web voltados para a Internet (incluindo aqueles envolvidos em projetos futuros sejam atualizados para as versões mais recentes dos componentes Java, conforme aplicável para proteção).
- A Black Box está monitorando continuamente a lista de fornecedores publicados publicamente ( GitHub, link fornecido abaixo) que são potencialmente afetados pela vulnerabilidade Log4j e validando com esses fornecedores a disponibilidade de patches nos casos
onde pode ser usado. Muitos desses fornecedores já corrigiram suas plataformas e componentes s/w.
- Black Box não identificou nenhum compromisso até agora. Está continuamente e ativamente avaliando seus logs e monitorando a situação.
Consultoria ao cliente
Devido à gravidade dessa vulnerabilidade, recomendamos que os clientes sigam os principais pontos de orientação abaixo -
- Os clientes devem atualizar seus sistemas e plataformas de segurança com o Log4j IOC e monitorar quaisquer intrusões.
- Os clientes devem identificar os dispositivos voltados para a Internet executando o Log4j e atualizá-los para a versão 2.17.1 ou aplicar os patches fornecidos pelos fornecedores "imediatamente".
- O cliente deve enumerar quaisquer dispositivos externos com Log4j instalado e garantir que as ações do centro de operações de segurança a cada alerta relacionado ao Log4j. Instalando um firewall de aplicativo da web (WAF) com regras para focar no Log4j
também ajuda na identificação e prevenção de ataques.
- Os clientes devem identificar o software que contém a vulnerabilidade do Log4j que eles usam internamente. Uma vez identificados, eles devem atualizar/atualizar componentes relevantes ou seguir as recomendações dos fornecedores para erradicar a vulnerabilidade do log4j.
Para identificar qualquer software e versões vulneráveis ao log4j, consulte o link abaixo -
https://github.com/NCSC-NL/log4shell/tree/main/software - Para obter as atualizações e orientações mais recentes sobre a situação, siga a página de orientação sobre vulnerabilidade do CISA Apache log4j -
Orientação de vulnerabilidade do Apache Log4j | CISA - Considere relatar comprometimentos imediatamente ao FBI ou seu
Autoridade local, conforme aplicável no país.
