CVE-2021-44228 Apache Log4j

CVE-2021-44228 Apache Log4j GPC reacciona a tiempo

CVE-2021-44228 Apache Log4j
CVE-2021-44228 Apache Log4j

Actualizaciones de firmas de Google Cloud IDS para ayudar a detectar la vulnerabilidad CVE-2021-44228 Apache Log4j

NIST ha anunciado una vulnerabilidad reciente ( CVE-2021-44228 ) en la biblioteca Apache Log4j . Para ayudar con la detección, los clientes de Google Cloud IDS ahora pueden monitorear y detectar intentos de explotación de CVE-2021-44228.

Fondo

La utilidad Apache Log4j es un componente de uso común para el registro de solicitudes.

El 9 de diciembre de 2021, se informó una vulnerabilidad que podría permitir que un sistema que ejecuta Apache Log4j versión 2.14.1 o inferior se vea comprometido y permitir que un atacante ejecute código arbitrario.

El 10 de diciembre de 2021, NIST publicó una alerta crítica de vulnerabilidad y exposición común, CVE-2021-44228 . Más específicamente, las características de Java Naming Directory Interface (JNDI) que se utilizan en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por atacantes y otros puntos finales relacionados con JNDI. Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores remotos cuando la sustitución de búsqueda de mensajes está habilitada.

Si tiene cargas de trabajo que cree que pueden ser vulnerables, puede usar Google Cloud IDS para ayudar a monitorear y detectar intentos de explotación en su entorno de Google Cloud. Puede leer más detalles en el sitio web de NIST aquí , y el aviso de seguridad de Google Cloud aquí.

Abordar la vulnerabilidad de Apache Log4j con Google Cloud IDS

Cloud IDS de Google Cloud es un producto nativo de detección de amenazas basado en la red que ayuda a detectar intentos de explotación y técnicas evasivas tanto en la red como en las capas de aplicación, incluidos los desbordamientos de búfer, la ejecución remota de código, la fragmentación de protocolos y la ofuscación.

La capacidad de detección está construida con la tecnología de detección de amenazas de Palo Alto Networks.

Para ayudar a nuestros clientes a monitorear, el equipo de Cloud IDS ha trabajado con Palo Alto Networks y el equipo de Google Cybersecurity Action Team.

Para analizar este problema y actualizar los sistemas de detección de Cloud IDS.

Para ayudar a detectar los tipos más comunes de intentos de explotación de Log4j en sus entornos de GCP.

Para los clientes que actualmente usan Cloud IDS, esto se implementó automáticamente.

A partir del 12-12-2021 a las 9:00 p.m. UTC y no se requieren más acciones para habilitarlo.

Las nuevas implementaciones o los nuevos puntos finales de Cloud IDS tendrán esta supervisión habilitada de forma predeterminada.

Las alertas de estas detecciones tienen un nivel de gravedad Crítico.

Por lo que todos los terminales de Cloud IDS alertarán sobre estas detecciones sin que se requieran cambios de configuración en el perfil de gravedad de amenazas de su terminal de IDS.

Monitoreo de amenazas potenciales

Después de configurar Cloud IDS para monitorear el tráfico hacia / desde cargas de trabajo de aplicaciones que pueden ser explotadas debido a esta vulnerabilidad.

Puede buscar rápidamente alertas relacionadas con CVE-2021-44228 en la consola de Cloud IDS mediante el uso de un filtro en:

“Nombre de amenaza: Apache Vulnerabilidad de ejecución remota de código de Log4j

Cloud IDS detecta CVE-2021-44228 Apache Log4j
Detalles de amenazas para las amenazas de CVE-2021-44228 Apache Log4j detectadas por Cloud IDS

Además de monitorear las alertas de amenazas de Log4j en la consola de Cloud IDS.

También puede ver registros más detallados en Cloud Logging .

Puede encontrar más detalles sobre los registros de Cloud IDS  aquí .

IT CONNECT

Información de valor para ejecutivos que toman decisiones de negocios

Abordar las amenazas potenciales

Además de actualizar sus sistemas a la última versión de Apache log4j.

Los clientes que usan Google Cloud Armor pueden habilitar una nueva regla WAF preconfigurada para ayudar a bloquear las solicitudes a la infraestructura vulnerable.

La documentación completa del producto Cloud IDS para configurar Cloud IDS y filtrar alertas y registros está disponible aquí:

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

CVE-2021-44228 Apache Log4j, CVE-2021-44228 Apache Log4j, CVE-2021-44228 Apache Log4j, CVE-2021-44228 Apache Log4j, 

94 / 100