Vulnerabilidade descoberta na popular biblioteca do Apache expõe milhares de sistemas a ataques. Veja a análise de nossos especialistas sobre o assunto
No dia 9 de dezembro, uma nova vulnerabilidade crítica de dia zero, a qual afeta várias versões da popular biblioteca de registro Apache Log4j 2. foi divulgada publicamente; se explorada, ela permitiria a Execução Remota de Código (RCE) para registrar uma string nas instalações afetadas.
Esta vulnerabilidade específica foi denominada CVE-2021-44228 e é popularmente chamada de “Log4Shell” em vários blogs e relatórios. As versões da biblioteca afetadas são as versões 2.0-beta 9 a 2.14.1.https: //repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.15.0/.
O que é e como funciona a vulnerabilidade no Log4j
O Log4j é um utilitário open source de registro baseado em Java, amplamente implantado e usado em uma série de aplicações corporativas, incluindo muitos serviços em nuvem que utilizam servidores da web Apache.
A vulnerabilidade CVE-2021-44228 é do tipo Java Naming and Directory InterfaceTM injection(JNDI) nas versões afetadas do Log4j que listamos no artigo. Ele pode ser acionado quando um sistema que usa uma versão afetada do Log4j 2 inclui dados não confiáveis na mensagem registrada; no caso, se esses dados incluem um payload malicioso avançado, uma consulta JNDI é feita em um servidor preparado para dar continuidade ao ataque. Dependendo da informação enviada como resposta à query, um objeto Java malicioso pode ser carregado, abrindo espaço para a ação de RCE. Além disso, os invasores, que podem controlar mensagens de log ou seus parâmetros, também podem executar códigos livremente, carregados a partir de servidores LDAP quando a substituição de pesquisa de mensagens está habilitada.
O grande problema desta vulnerabilidade é o amplo uso deste utilitário de registro em um contexto corporativo, sobretudo em cloud. As pesquisas JDNI dão suporte a vários protocolos, o que traz bastantes oportunidades de ação por parte de cibercriminosos. Felizmente, com base na análise realizada até agora, a capacidade de exploração depende das versões e configurações do Java, não sendo, portanto, tão imediatista. Na prática, isso signfica que não basta a implantação em um servidor de uma versão afetada do Log4j 2 para que o sistema esteja efetivamente vulnerável.
A Trend Micro Research continua analisando essa vulnerabilidade e suas explorações e atualizará este artigo assim que houver mais informações disponíveis.
Detalhes técnicos e prevenção
- Proteção Contra Exploração
Em primeiro lugar, é sempre altamente recomendável que os usuários apliquem os patches do fornecedor quando estiverem disponíveis, pois isso reduz drasticamente a chance de exploits e, portanto, invasão do ambiente. Dito isso, uma nova versão do Log4j 2 foi lançada, o que supostamente resolve o problema: Versão 2.15.0 e está disponível no Maven Central. A recomendação para quem estiver afetado é a atualização imediata para a nova versão, para minimizar a chance de exploração do problema.
Vale destacar que a atenuação usando Log4j versão 2.15.0 só funciona quando emparelhado com e usando Java 8. Os usuários com versões anteriores de Java (6 ou 7) precisarão aplicar e reaplicar as soluções temporárias descritas abaixo durante as reinicializações em certos cenários. Esta, portanto, não é uma solução de longo prazo, a menos que a combinação adequada de Log 2.15.0+ e Java 8 seja usada.
Além disso, existem várias fontes independentes que publicaram possíveis medidas de proteção temporárias que envolvem a alteração dos arquivos de configuração:
- Para versões> = 2.10, os usuários podem definir a propriedade do sistema log4j2.formatMsgNoLookups como true
- Para versões> = 2.10, defina também a variável de ambiente LOG4J_FORMAT_MSG_NO_LOOKUPS como true
- Para 2.0-beta9 a 2.10.0, remova JndiLookup.class do caminho de classe: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup.class
- Proteção e investigação da Trend Micro
Além dos patches do fabricante que devem ser aplicados assim que disponíveis, a Trend Micro lançou algumas regras suplementares, filtros, detecção e recursos de proteção que podem ajudar a fornecer segurança adicional neste momento. Isso inclui a identificação de componentes maliciosos associados a este ataque de servidores que ainda não foram comprometidos ou contra novas tentativas de ataques, trazendo uma opção preventiva de defesa para o ambiente.
- Usando produtos da Trend Micro para investigação
Trend Micro Vision One ™
Os clientes do Trend Micro Vision One se beneficiam dos recursos de detecção de XDR dos produtos básicos, como o Apex One. Além disso, dependendo do intervalo de tempo de coleta de dados, os clientes do Trend Micro Vision One podem varrer os IOCs retrospectivamente para identificar se havia alguma atividade potencialmente suspeita neste intervalo para ajudar na investigação.
Vision One Threat Intelligence Sweeping
Os indicadores de exploits associados a esta vulnerabilidade agora estão incluídos na função Threat Intelligence Sweeping do Trend Micro Vision One. Os clientes que têm isso habilitado agora terão a presença dos IOCs relacionados a essas ameaças adicionadas às suas varreduras diárias de telemetria.
A primeira varredura, “Versão vulnerável do log4j ….” é um pouco diferente das outras porque, em vez de IOCs específicos, ela busca por instâncias específicas de bibliotecas log4j em sistemas que podem ajudar um cliente a restringir ou fornecer insights adicionais sobre sistemas potencialmente vulneráveis.
Os resultados das varreduras de inteligência serão preenchidos na seção Técnicas de Ataques Observados do Vision One. Há também a opção de se iniciar manualmente uma varredura a qualquer momento, clicando nos 3 pontos à direita de uma regra e selecionando a opção “Iniciar varredura”.
Os clientes que possuem Trend Micro Cloud One – Workload Security ou Deep Security podem utilizar a seguinte consulta de pesquisa para identificar hosts e, em seguida, consultas adicionais podem ser feitas com um período de tempo reduzido para esses hosts, à medida que informações adicionais são obtidas sobre exploits:
eventName: DEEP_PACKET_INSPECTION_EVENT AND (ruleId: 1008610 OR ruleId: 1011242 OR ruleId: 1005177) AND (“$ {” AND (“inferior:” OR “superior:” OR “sys:” OR “env:” OR “java:” OU “jndi:”))
Regras preventivas, filtros e detecção: detalhes técnicos e ações
- Trend Micro Cloud One – Regras IPS para Workload Security e Deep Security
Regra 1011242 – Vulnerabilidade de execução remota de código Log4j (CVE-2021-44228)
Esta regra é recomendada por padrão e observe que as listas de portas podem precisar ser atualizadas para aplicativos executados em portas não padrão.
Regra 1005177 – Restringir o download do arquivo Java Bytecode (Jar / Class)
Regra 1008610 – Bloquear iniciação de expressões de linguagem de navegação de gráfico de objeto (OGNL) na solicitação de HTTP do Apache Struts
A regra 1008610 é uma regra SMART que pode ser atribuída manualmente para ajudar na proteção / detecção contra atividades suspeitas que podem estar associadas a esta ameaça. Esta não é uma substituição abrangente para o patch do fornecedor.
Observe também que a regra 1008610 é enviada em DETECTAR e deve ser alterada manualmente para PREVENIR se o administrador desejar aplicá-la. Além disso, esteja ciente de que, devido à natureza desta regra, pode haver falsos positivos em certos ambientes, portanto, testes específicos do ambiente são recomendados.
- Trend Micro Cloud One – Inspeção de Log para Workload Security e Deep Security
Regra LI 1011241 – Vulnerabilidade de execução remota de código Apache Log4j (CVE-2021-44228)
Uma regra de LI customizada também pode ser criada para detectar padrões conforme descoberto no futuro. Os usuários podem seguir as etapas localizadas em Definir uma regra de inspeção de log para uso em políticas – Segurança de carga de trabalho | Documentação do Trend Micro Cloud One ™ e adicione os seguintes padrões de amostra no campo de correspondência de padrões:
- Regras do Trend Micro Deep Discovery Inspector (DDI)
Regra 4280: HTTP_POSSIBLE_USERAGENT_RCE_EXPLOIT_REQUEST
Regra 4641: CVE-2021-44228 – OGNL EXPLOIT – HTTP (PEDIDO)
Regra 4642: POSSÍVEL EXPRESSÃO DE EXPRESSÃO DE OGNL DE CABEÇALHO HTTP – HTTP (PEDIDO)
Regra 4643: POSSÍVEL EXPRESSÃO DE EXPRESSÃO DE CORPO HTTP OGNL – HTTP (PEDIDO) – Variante 2
- Trend Micro Cloud One – Arquivo CSW CVE-2021-44228 para Network Security e TippingPoint DVToolkit
Filtro C1000001: HTTP: injeção JNDI no cabeçalho HTTP ou URI
Vale ressaltar que este CSW será substituído pelo filtro 40627, com data prevista para 14/12/2021.
- Padrões de detecção de malware Trend Micro (VSAPI, Predictive Learning, Behavioral Monitoring e WRS) para Endpoint, Servidores, Mail e Gateway (por exemplo, Apex One, Deep Security c / Anti-malware etc.)
Web Reputation (WRS): a Trend Micro adicionou mais de 1700 URLs (e continua adicionando) ao seu banco de dados WRS para bloquear relatórios maliciosos e vetores de comunicação associados a explorações observadas contra esta vulnerabilidade.
Detecções VSAPI (padrão): as seguintes detecções foram lançadas no OPR mais recente para código malicioso associado a explorações –
Trojan.Linux.MIRAI.SEMR
HS_MIRAI.SMF
HS_MIRAI.SME
Trojan.SH.CVE20207961.SM
Backdoor.Linux.MIRAI.SEMR
Trojan.SH.MIRAI.MKF
Coinminer.Linux.KINSING.D
- Trend Micro Cloud One – Application Security
O Trend Micro Cloud One – Application Security pode monitorar um aplicativo em execução e impedir a execução de comandos shell inesperados. A configuração RCE do produto pode ser ajustada para ajudar a proteger contra certas explorações associadas a esta vulnerabilidade usando as seguintes etapas:
- Faça login no Trend Micro Cloud One e navegue até Segurança de Aplicações
- Selecione “Política de Grupo” no menu à esquerda e encontre o Grupo de sua aplicação
- Habilite “Remote Command Execution” se ainda não estiver habilitado
- Clique no ícone de hambúrguer para “Configurar Política” e, em seguida, clique no ícone “<INSERIR REGRA>”
- Input (? S). * No campo “Enter a pattern to match” e clique em “Enviar” e “Salvar alterações”
- Verifique novamente se “Mitigate” está selecionado no item de linha “Remote Command Execution”
- Trend Micro Cloud One – Open Source Security by Snyk
O Trend Micro Cloud One – Open Source Security da Snyk pode identificar versões vulneráveis da biblioteca log4j em todos os repositórios de código-fonte da organização com integração rápida, fácil e fluida. Depois de instalado, ele também pode monitorar o progresso da atualização para versões não vulneráveis.
O time de pesquisa da Trend Micro continua analisando ativamente os exploits e comportamentos potenciais em torno desta vulnerabilidade e está procurando por códigos maliciosos que podem estar associados a qualquer tentativa de exploit contra a vulnerabilidade. Caso encontre novos perigos, a equipe vai adicionar detecção e/ou proteção adicional assim que estiverem disponíveis, comunicando a comunidade imediatamente.
Impacto nos produtos da Trend Micro
A Trend Micro está atualmente fazendo uma avaliação de todo seu portfólio de produtos e serviços para ver se existe qualquer chance de serem afetados por esta vulnerabilidade. Havendo qualquer atualização em relação a isso, nosso pessoal trará novidades aqui no blog, então acompanhe nossos canais para saber mais sobre os desdobramentos desta nova ameaça.