Cómo mitigar Log4j hoy y detener futuros exploits

¿Qué es la vulnerabilidad Log4j?

Han sido unas semanas difíciles para muchos en el mundo de las TI. El ⁹ de diciembre, se descubrió y anunció una vulnerabilidad crítica de día cero en la omnipresente biblioteca de registro de la Apache Software Foundation utilizada para aplicações Java conocida como Log4j. Cientos de miles de sitios web y aplicações utilizan este software para realizar registros que permitan a los desarrolladores depurar sus sitios web y rastrear otras tendencias para sus aplicações y páginas web. Se ha estimado que el marco Log4j se utiliza en cientos de miles de proyectos de software de código abierto. Los desarrolladores a menudo crean software a partir de estas herramientas de código abierto sin examinar el código subyacente, que podría tener vulnerabilidades existentes.

A modo de breve resumen de la vulnerabilidad Log4j y el tipo de explotación que permite a los atacantes ejecutar:

Log4j tiene un alto potencial de disrupción empresarial

Debido a la prevalencia de Log4j, se determinó que la CVE-2021-44228 inicial (apodado Log4Shell) era una vulnerabilidad crítica. La gravedad de esta vulnerabilidad, junto con el hecho de que el parche en sí contenía una vulnerabilidad y necesita ser parcheado , significa que los profesionales de TI pueden tener que lidiar con las consecuencias de esta vulnerabilidad por un tiempo. Esto, sumado al hecho de que el personal de TI necesita verificar referencias anidadas de Log4j (es decir, verificar si alguna biblioteca en uso en su software hace referencia a la biblioteca Log4j), significa que Log4Shell puede generar un efecto en cascada. Puede resultar difícil determinar el alcance total del impacto que la vulnerabilidad de Log4j y Log4Shell pueden tener en su organización. Obtenga una evaluación de amenazas gratuita si le preocupa que su organización pueda estar en riesgo.

Si aún no lo ha hecho, ¡la primera orden del día que cualquier organización debe hacer para mitigar Log4j es aplicar un PATCH! Parchear servidores que ejecutan Log4j. Parchear software usando bibliotecas que ejecutan Log4j. ¡Simplemente parchea y sigue parcheando!

A medida que su organización continúa el proceso esencial y completo de descubrir y corregir estas vulnerabilidades, es fundamental protegerse de los ataques que utilizan exploits de Log4Shell y evitar que el daño se propague más si un atacante ya se ha infiltrado en su entorno. Además, el ⁴ de enero, Estados Unidos... La Comisión Federal de Comercio emitió un aviso indicando que las organizaciones que no solucionen las vulnerabilidades Log4J de Apache podrían enfrentar acciones legales enfatizando la importancia de Log4j.

Incluso si ya tiene el parche completo, es importante recordar que Log4j no es la primera vulnerabilidad de este tipo y no será la última. Por eso es esencial protegerse de forma proactiva contra las vulnerabilidades actuales y futuras y, al mismo tiempo, tener un plan para proteger su red si un atacante aprovecha una vulnerabilidad en sus sistemas. Afortunadamente, una estrategia de mitigación es relativamente fácil de implementar.

Cuando se trata de mitigar vulnerabilidades como Log4j, asegúrese de:

1. Proteja de forma proactiva su organización de ataques utilizando Log4Shell y otras vulnerabilidades de su tipo implementando un WAF
2. Implemente medidas de seguridad para garantizar que, si su organización es atacada, pueda detener el ataque antes de que cause daños graves en su red.
3. Realizar una auditoría para determinar el alcance total del impacto de la vulnerabilidad
4. Parche todo el código que usa o hace referencia a la vulnerabilidad, utilizando su auditoría para garantizar que no quede ninguna exposición sin parchear

Mitigación de la vulnerabilidad de Log4j con firmas que bloquean los vectores de ataque conocidos

Si no se les hace frente, los adversarios cibernéticos pueden apoderarse rápidamente de miles de sitios web y aplicaciones en línea, lo que les permite robar datos confidenciales. La solución más efectiva es parchear el código de la aplicación con la última versión de Log4j y bloquear las solicitudes maliciosas con un firewall de aplicação web (WAF).

Es posible que también necesite proteger su organización de los ataques Log4Shell mientras instala los parches necesarios para la vulnerabilidad Log4j en sus servidores vulnerables y su pila de software. Ahí es donde un WAF también puede ayudar.

Las soluciones F5 WAF, todas desarrolladas sobre el motor WAF consistente y sólido de F5 y disponibles en modelos de implementación y consumo para abordar mejor sus necesidades de seguridad, ayudan a mitigar el impacto de la vulnerabilidad de ejecución remota de código (RCE) de Apache Log4j en su infraestructura. F5 ofrece cuatro opciones para proteger su aplicação con nuestro robusto motor WAF:

1. F5 Advanced WAF
2. NGINX APP PROTECT WAF
3. Silverline WAF
4. Volterra WAF

F5 ha publicado un conjunto de firmas que bloquean los vectores de ataque conocidos para las vulnerabilidades de Log4j. Tanto F5 Advanced WAF como NGINX App Protect WAF pueden bloquear intentos de explotación utilizando firmas específicas para la inyección de Java Naming and Directory Interface (JNDI) y firmas de inyección JNDI genéricas. Estas firmas son parte del conjunto de firmas de inyección de código del lado del servidor que se actualiza en función de la investigación continua de la amenaza y las omisiones de WAF conocidas con nuevas reglas para detectar ataques Log4Shell de manera efectiva. De esta manera, F5 WAF permite la “aplicación de parches virtuales”. Visite aquí para obtener soporte de mitigación para los productos de seguridad de aplicação BIG-IP y NGINX.

F5 Advanced WAF ofrece protecciones avanzadas que van mucho más allá de la simple defensa contra el OWASP Top 10 y es perfecto para organizaciones enfocadas en la seguridad que desean autogestionar y adaptar controles granulares para aplicaciones tradicionales. Si ya es cliente de F5 BIG-IP, ya tiene el WAF más potente de la industria (el motor F5 WAF) en su red. La obtención de licencias de Advanced WAF en BIG-IP, en particular si es licenciatario de F5 BEST, puede automatizar la mitigación de amenazas nuevas y actuales, mejorar la eficacia de la seguridad para una mejor protección y desbloquear el aprendizaje automático y el análisis del comportamiento para la protección de aplicaciones sin intervención. 

Si busca una solución WAF autogestionada diseñada para su equipo Agile DevOps y para proteger su infraestructura moderna o un entorno de Kubernetes, NGINX App Protect WAF será la mejor opción para satisfacer sus necesidades. Visite el blog Mitigación de la vulnerabilidad log4j con NGINX para obtener más detalles sobre NGINX App Protect WAF.

Si desea disfrutar de las mismas protecciones que desearía con Advanced WAF o NGINX App Protect WAF, pero necesita o prefiere un enfoque de no intervención que lo ayude a mitigar las vulnerabilidades de inmediato, un servicio administrado como Silverline WAF basado en la nube de F5 puede ser la opción perfecta. Silverline WAF es el servicio WAF líder y totalmente gestionado de F5. Ofrece una solución integral para proteger sus aplicações en entornos híbridos o multicloud, con el respaldo de los expertos en seguridad del SOC de F5. El equipo del SOC de Silverline de F5 ha implementado las medidas de mitigación necesarias, monitorizando continuamente las amenazas y aplicando las medidas de mitigación y protección necesarias contra vulnerabilidades como Log4j.

Nuestra plataforma Volterra WAF también recibió firmas actualizadas para mitigar aún más cualquier exposición relacionada con las vulnerabilidades de Log4j. Estas firmas ahora están incluidas en la política WAF predeterminada y nuestros clientes WAF de Volterra no necesitan realizar ninguna acción adicional para mitigar los ataques Log4Shell. Volterra WAF será la mejor opción para los usuarios que buscan un WAF nativo de la nube con una implementación basada en SaaS.

Las ofertas y servicios de F5 WAF (F5 Advanced WAF, NGINX App Protect WAF, F5 Silverline WAF y Volterra WAF) se pueden consumir e implementar en conjunto donde sea necesario para abordar y proteger mejor sus aplicações y defenderse contra amenazas a la capa de aplicación.

Además, es difícil detectar las campañas de ataques avanzados a partir de ataques individuales. F5 Threat Campaigns , disponible con F5 Advanced WAF y/o NGINX App Protect WAF, defiende las aplicaciones y la infraestructura de TI de ataques sofisticados al detectar con precisión y bloquear de forma proactiva las campañas de ataque actuales. Si bien los WAF de F5 por sí solos funcionan como un punto de control de seguridad esencial, la inteligencia de amenazas puede asociar un solo incidente de ataque a una campaña más extensa y sofisticada, lo que le permite defenderse contra ataques dirigidos que pueden evadir las políticas de seguridad básicas del WAF. Las campañas de amenazas se pueden agregar fácilmente a su implementación de Advanced WAF y NGINX App Protect WAF para automatizar la seguridad y detectar y bloquear amenazas.

Establecer una defensa contra ataques Log4Shell en caso de compromiso

Teniendo en cuenta la cantidad de bibliotecas que utilizan Log4j, puede resultar complicado determinar de inmediato el alcance total del impacto de la vulnerabilidad para su organización. Durante este tiempo, lamentablemente, es posible que seas vulnerable a la explotación.

Por ejemplo, un atacante podría crear una solicitud a un punto final no autorizado para que recoja e implemente un programa malicioso. O un atacante podría crear una solicitud a un servidor, lo que lleva al servidor comprometido a ejecutar comandos del hacker que son contrarios a su funcionamiento normal y comprometen su organización.

Incluso si un atacante ya ha aprovechado la exposición, aún no te has quedado sin opciones. Afortunadamente, una vez que un atacante ejecuta un fragmento de código remoto que explota Log4Shell, puede evitar que el exploit se propague dentro de su red inspeccionando el tráfico saliente del servidor.

Supongamos que tuviera una solución en el borde de su red que pudiera descifrar y habilitar la inspección de paquetes de tráfico cifrados. En ese caso, podría detectar malware o tráfico malicioso propagado debido a una vulnerabilidad de Log4j y bloquearlo antes de que cause más daños. Un ejemplo sería acceder a un servidor de comando y control para lanzar más ataques o incluso extraer datos. Dado que los servidores normalmente están conectados a Internet, el tráfico de su servidor atravesará su entorno a través de TLS. Por lo tanto, inspeccionar el tráfico del servidor cifrado es fundamental para contener y detener la propagación de un entorno ya comprometido y vulnerable.

El uso de un producto como F5 SSL Orchestrator proporciona visibilidad del tráfico cifrado y detiene las amenazas cifradas al ayudar a realizar análisis salientes descifrados. SSL Orchestrator descifra el tráfico que atraviesa su red, incluso el tráfico del servidor, y envía el tráfico a servicios de inspección de terceros (como NGFW, WAF, SWG, IPS o DLP), que luego pueden permitir, bloquear o desviar el tráfico para garantizar que no se propague malware cifrado por toda su red en el camino de entrada; y que no haya tráfico malicioso destinado a C² Los servidores (de comando y control) o los datos exfiltrados pueden salir de su entorno. SSL Orchestrator está diseñado y construido específicamente para mejorar la infraestructura SSL/TLS, brindar soluciones de seguridad con visibilidad del tráfico cifrado SSL/TLS y optimizar y maximizar sus inversiones de seguridad existentes para proteger su red de ataques en cascada.

CONCLUSIÓN

Log4j no es la primera vulnerabilidad grave y de amplio alcance, y no será la última. Tan importante como es protegerse contra las explotaciones de Log4j ahora (que aún continúan en el momento de la publicación), es igualmente crítico fortalecer la seguridad de su aplicação y red para proteger sus activos de la inevitable próxima vulnerabilidad crítica.

Cuando aparezca la próxima vulnerabilidad crítica, estar preparado significa seguir estos cuatro pasos. Lo ideal es utilizar un WAF antes de anunciar una vulnerabilidad para que sus aplicaciones estén protegidas de vectores de ataque conocidos como Log4Shell. Además, y también idealmente antes de que se anuncie una vulnerabilidad, tenga una solución que proteja su red de manera que si es atacado durante el proceso de parcheo y los atacantes pueden infiltrarse en su red, pueda evitar que los piratas informáticos usen un exploit para controlar sus servidores o exfiltrar sus datos. Luego de que se anuncia una vulnerabilidad, el siguiente paso es determinar su exposición. (¡ La evaluación de amenazas gratuita de F5 puede ayudar!) ¡A continuación, parche, parche, parche! Con estas cuatro estrategias en práctica, estará preparado para la próxima vulnerabilidad cuando se presente.

F5 puede ayudarle a crear un plan de mitigación integral que evite que los atacantes exploten una vulnerabilidad y proteja su entorno de daños o riesgos adicionales incluso después de una explotación exitosa.

Si tiene más preguntas sobre cómo mitigar la vulnerabilidad de Log4j u otras vulnerabilidades similares, comuníquese con su equipo de ventas de F5 o contáctenos en sales@f5.com . Para mantenerse actualizado sobre cómo responde F5 a Log4j, siga nuestro blog , que se actualiza a medida que hay nueva información disponible.

Si actualmente está bajo ataque y necesita asistencia urgente, llame a nuestro Centro de Operaciones de Seguridad (SOC) al (866) 329-4253 o al +1 (206) 272-7969. Para números de teléfono internacionales, visite https://www.f5.com/attack . Los clientes existentes de BIG-IP pueden comunicarse con el Equipo de respuesta a incidentes de seguridad.