Protección contra la vulnerabilidad Apache Log4j2 (CVE-2021-44228)

Tenga en cuenta: Desde la publicación inicial de este blog, F5 ha revisado las CVE posteriores (CVE-2021-45046, CVE-2021-4104 y CVE-2021-45105) y ha determinado que los mecanismos de protección descritos a continuación también son efectivos para estas vulnerabilidades.

Desde que se identificó el 9 de diciembre, los equipos de seguridad de todo el mundo han estado trabajando las 24 horas para comprender la amenaza que representa la vulnerabilidad de seguridad Apache Log4j2 (CVE-2021-44228), identificar su exposición e implementar mitigaciones. Mucho tiene estado escrito sobre la vulnerabilidad, también conocida como Log4Shell, pero en resumen es una vulnerabilidad de ejecución de código remoto, lo que significa que los atacantes pueden enviar datos específicos a una aplicação vulnerable para desencadenar una serie de acciones que resulten en que la aplicação objetivo se vea comprometida. Los atacantes pueden explotar esto de diversas maneras, por ejemplo, instalando un minero de criptomonedas o extrayendo datos confidenciales de la aplicação.

Las vulnerabilidades, las explotaciones, la mitigación y la remediación siempre son disruptivas, y la misión de F5 es hacer todo lo posible para brindar experiencia y soporte a los clientes. Los equipos de F5 han estado trabajando activamente en herramientas y orientación para ayudar a los equipos de aplicação y seguridad, ya sobrecargados, a mitigar esta importante amenaza para la industria.

Hemos evaluado nuestros productos y servicios F5 y, con base en la información actual, determinamos que los productos BIG-IP, NGINX, Silverline, Volterra y Threat Stack no son vulnerables a estos problemas. Para los servicios administrados de F5, nos hemos comunicado con los clientes a través de nuestros canales de comunicación habituales. Nuestros avisos de seguridad en AskF5 siempre tendrán la información más actualizada sobre nuestros productos y mitigaciones para las vulnerabilidades de Log4j:

• K19026212: Vulnerabilidad de ejecución remota de código en Apache Log4j2 (CVE-2021-44228)
• K24554520: Vulnerabilidad de ejecución remota de código en Apache Log4j (CVE-2021-4104)
• K32171392: Vulnerabilidad de Apache Log4j2 CVE-2021-45046
• K34162192: Vulnerabilidad de denegación de servicio de Apache Log4j2 (CVE-2021-45105)

Aprovechar los productos y servicios de F5 para mitigar las vulnerabilidades de Log4j es un medio rápido y eficaz de mitigar el riesgo que estos CVE representan para su entorno. Para una solución a largo plazo, instamos a nuestros clientes y a sus equipos de desarrollo a actualizar o eliminar (si ya no es necesario) cualquier biblioteca Log4j vulnerable de las aplicações.

A continuación, encontrará información más detallada sobre las formas en que brindamos soporte a través de soluciones de seguridad integrales y receptivas en nuestra cartera de productos y servicios.

Equipo de respuesta a incidentes de seguridad (SIRT) de F5

Si está bajo ataque o está preocupado por la exposición de una vulnerabilidad, comuníquese con el soporte de F5 y solicite una escalada al F5 SIRT . Este equipo está disponible las 24 horas, los 7 días de la semana para brindar orientación sobre todo, desde la aplicación de parches de software y sistemas de F5 hasta la configuración y asistencia de iRule para mitigar ataques o exposición a vulnerabilidades.

BIG-IP Advanced WAF

F5 ha lanzado un conjunto de firmas para BIG-IP Advanced WAF y ASM que bloquean los vectores de ataque conocidos para las vulnerabilidades de Log4j. Al momento de escribir este artículo, hay nueve firmas en total disponibles del equipo de investigación de amenazas de F5, incluidas dos que estaban disponibles pocas horas después de la publicación inicial de CVE. Estamos actualizando continuamente las firmas para mejorar la protección contra intentos de evasión, así que asegúrese de tener el último paquete de actualización de firmas de ataque (ASU).

Puede obtener más información sobre cómo mitigar estas vulnerabilidades a través de su política BIG-IP Advanced WAF (o ASM) existente en este aviso de seguridad .

iRule de BIG-IP

Para los clientes de F5 BIG-IP que no utilizan capacidades Advanced WAF o ASM, se puede aplicar una F5 iRule a las aplicações para detectar, registrar y descartar el tráfico infractor dirigido a CVE específicos. Nuestro aviso de seguridad inicial tiene más información y orientación para implementar iRule.

NGINX App Protect

Los clientes de NGINX App Protect reciben actualizaciones de firmas simultáneamente a los clientes de BIG-IP Advanced WAF , lo que garantiza una seguridad constante de las aplicação independientemente de la plataforma F5. Para mitigar las vulnerabilidades relacionadas a través de su configuración de NGINX App Protect, asegúrese de que sus firmas estén actualizadas, revise este documento y asegúrese de que el tipo de ataque “Inyección de código del lado del servidor” esté habilitado para su política WAF. Hay contexto adicional disponible en una entrada de blog publicada recientemente.

Volterra WAF

Nuestra plataforma Volterra WAF, al igual que NGINX App Protect y BIG-IP Advanced WAF, recibió firmas actualizadas para mitigar aún más cualquier exposición relacionada con las vulnerabilidades de Log4j. Estas firmas ahora están incluidas en la política WAF predeterminada y nuestros clientes de Volterra WAF no necesitan realizar ninguna acción adicional para mitigar esta amenaza.

F5 Silverline

El equipo de F5 Silverline ha implementado las mitigaciones necesarias para garantizar que las aplicações de los clientes estén protegidas de las vulnerabilidades aplicables. El SOC F5 Silverline monitorea continuamente las amenazas y aplicará las mitigaciones y protecciones necesarias en coordinación con nuestro equipo de investigación de amenazas y nuestros clientes. El equipo de Silverline opera como una extensión de su propio equipo de AppSec y trabaja las 24 horas del día, los 7 días de la semana en su nombre.

Si tiene preguntas específicas sobre su configuración de Silverline, comuníquese con el SOC a: support@f5silverline.com y para obtener más información sobre los servicios de Silverline, visite: https://www.f5.com/products/security/silverline

Threat Stack

F5 adquirió recientemente Threat Stack y da la bienvenida a las importantes capacidades de inspección, detección e informes que ofrece el servicio Threat Stack. El servicio Threat Stack ya incluye varias reglas de detección que pueden indicar el compromiso de Log4j, incluido el lanzamiento de servicios como root, servicios que se ejecutan desde un shell e intentos de escalada. Detalles adicionales están disponibles en esta publicación del blog .

Si está interesado en los servicios de Threat Stack para ayudar a proteger sus aplicações de las amenazas actuales de Log4j, así como detectar actividad inusual, garantizar el cumplimiento y recibir información completa sobre las aplicação , comuníquese con su actual representante de ventas de F5 o visite: https://www.threatstack.com

Shape Security

La mayoría de los intentos de explotar cualquier vulnerabilidad comienzan con un reconocimiento automatizado. Con esto en mente, Bot Defense impulsado por IA de Shape Security es una primera línea de defensa importante para eliminar esos escaneos automatizados y aumentar la dificultad para los atacantes que intentan descubrir esta vulnerabilidad en sus aplicações web orientadas a Internet. Shape AI Cloud permite una adaptación casi en tiempo real a los ataques automatizados impulsados por bots para mantenerse al día con las tácticas en constante cambio de los atacantes que operan botnets. Si desea obtener más información sobre Shape, visite: https://www.f5.com/products/security/shape-security

Mantenerse informado

Visite nuestros avisos de seguridad sobre CVE-2021-44228 , CVE-2021-4104 y CVE-2021-45046 para obtener la información más actualizada sobre las mitigaciones de F5. Para mayor contexto, los clientes pueden obtener más información de los siguientes recursos:

Blogs adicionales de F5

• Cómo mitigar Log4j hoy y detener futuros exploits por Catherine Newcomb y Navpreet Gill
• Aprendizajes de Log4j: No se apresure a remediar por Lori MacVittie

F5 Labs

• Explicación de la vulnerabilidad generalizada de Log4j
• Log4Shell: Reiniciando los principios de seguridad (de siempre) en consecuencia

DevCentral

• Programa en vivo de DC Connect sobre la vulnerabilidad Log4j2
• Mitigación de Log4j (CVE-2021-44228) con firmas personalizadas de inspección del protocolo AFM
• Proteja su clúster de Kubernetes contra la vulnerabilidad Apache Log4j2 usando BIG-IP

NGINX

•  Mitigación de la vulnerabilidad Log4j con NGINX

Threat Stack

• Detección de amenazas de alta precisión para la vulnerabilidad Log4j

Continuaremos brindando a los clientes la información más reciente sobre las vulnerabilidades relacionadas y agregaremos enlaces a los recursos anteriores. Además, los clientes pueden suscribirse para recibir notificaciones sobre lanzamientos de software, alertas de seguridad y otras actualizaciones importantes.

_______

Por Scott Altman, Sr. Director de Arquitectos de Soluciones de Seguridad Global, F5