Protection contre la vulnérabilité Apache Log4j2 (CVE-2021-44228)

Veuillez noter: Depuis la publication initiale de ce blog, F5 a examiné les CVE ultérieurs (CVE-2021-45046, CVE-2021-4104 et CVE-2021-45105) et a déterminé que les mécanismes de protection décrits ci-dessous sont également efficaces pour ces vulnérabilités.

Depuis le 9 décembre, les équipes de sécurité du monde entier travaillent 24 heures sur 24 pour comprendre la menace posée par la vulnérabilité de sécurité Apache Log4j2 (CVE-2021-44228), identifier leur exposition et mettre en place des mesures d'atténuation. Beaucoup de choses ont été écrites sur cette vulnérabilité, également appelée Log4Shell, mais en bref, il s'agit d'une vulnérabilité d'exécution de code à distance, ce qui signifie que les attaquants peuvent envoyer des données spécifiques à une application vulnérable pour déclencher une série d'actions qui entraînent la compromission de l'application cible. Les attaquants peuvent exploiter cela de diverses manières, par exemple en installant un mineur de crypto-monnaie ou en extrayant des données sensibles de l'application.

Les vulnérabilités, les exploitations, l’atténuation et la correction sont toujours perturbatrices, et la mission de F5 est de faire ce que nous pouvons pour fournir une expertise et un soutien aux clients. Les équipes de F5 ont travaillé activement sur des outils et des conseils pour aider les équipes d’application et de sécurité, déjà surchargées, à atténuer cette menace industrielle importante.

Nous avons évalué nos produits et services F5, déterminant sur la base des informations actuelles que les produits BIG-IP, NGINX, Silverline, Volterra et Threat Stack ne sont pas vulnérables à ces problèmes. Pour les services gérés F5, nous avons contacté les clients via nos canaux de communication habituels. Nos avis de sécurité sur AskF5 contiendront toujours les informations les plus récentes sur nos produits et les mesures d'atténuation des vulnérabilités de Log4j :

• K19026212: Vulnérabilité d'exécution de code à distance Apache Log4j2 CVE-2021-44228
• K24554520: Vulnérabilité d'exécution de code à distance Apache Log4j CVE-2021-4104
• K32171392: Vulnérabilité Apache Log4j2 CVE-2021-45046
• K34162192: Vulnérabilité de déni de service Apache Log4j2 CVE-2021-45105

L’utilisation des produits et services F5 pour atténuer les vulnérabilités de Log4j est un moyen rapide et efficace d’atténuer le risque que ces CVE représentent pour votre environnement. Pour une correction à long terme, nous invitons nos clients et leurs équipes de développement à mettre à niveau ou à supprimer (si elles ne sont plus nécessaires) toutes les bibliothèques Log4j vulnérables des applications.

Vous trouverez ci-dessous des informations plus détaillées sur la manière dont nous fournissons une assistance via des solutions de sécurité complètes et réactives dans l'ensemble de notre portefeuille de produits et services.

Équipe d'intervention en cas d'incident de sécurité (SIRT) F5

Si vous êtes victime d'une attaque ou si vous êtes préoccupé par une vulnérabilité, veuillez contacter le support F5 et demander une escalade vers le SIRT F5 . Cette équipe est disponible 24h/24 et 7j/7 pour fournir des conseils sur tout, depuis la mise à jour corrective des logiciels et systèmes F5 jusqu'à la configuration et l'assistance iRule pour atténuer les attaques ou l'exposition aux vulnérabilités.

Advanced WAF BIG-IP

F5 a publié un ensemble de signatures pour BIG-IP Advanced WAF et ASM qui bloquent les vecteurs d'attaque connus pour les vulnérabilités Log4j. Au total, neuf signatures de l'équipe de recherche sur les menaces F5 sont disponibles au moment de la rédaction de cet article, dont deux qui étaient disponibles quelques heures après la publication initiale du CVE. Nous mettons continuellement à jour les signatures pour améliorer la protection contre les tentatives de contournement. Assurez-vous donc que vous disposez du tout dernier package de mise à jour des signatures d'attaque (ASU).

Vous pouvez en savoir plus sur la manière d'atténuer ces vulnérabilités via votre politique BIG-IP Advanced WAF (ou ASM) existante dans cet avis de sécurité .

Règle iRule BIG-IP

Pour les clients F5 BIG-IP qui n'utilisent pas les fonctionnalités WAF ou ASM avancées, une iRule F5 peut être appliquée aux applications pour détecter, enregistrer et supprimer le trafic incriminé ciblant des CVE spécifiques. Notre avis de sécurité initial contient davantage d’informations et de conseils pour la mise en œuvre de l’iRule.

Protection des applications NGINX

Les clients NGINX App Protect reçoivent des mises à jour de signature simultanément avec les clients BIG-IP Advanced WAF, garantissant ainsi une sécurité cohérente des applications quelle que soit la plate-forme F5. Pour atténuer les vulnérabilités associées via votre configuration NGINX App Protect, assurez-vous que vos signatures sont mises à jour, consultez ce document et assurez-vous que le type d'attaque « Injection de code côté serveur » est activé pour votre politique WAF. Un contexte supplémentaire est disponible dans un article de blog récemment publié.

Volterra WAF

Notre plateforme Volterra WAF, comme NGINX App Protect et BIG-IP Advanced WAF, a reçu des signatures mises à jour pour atténuer davantage toute exposition liée aux vulnérabilités Log4j. Ces signatures sont désormais incluses dans la politique WAF par défaut et aucune action supplémentaire n'est requise pour nos clients WAF Volterra pour atténuer cette menace.

F5 Silverline

L'équipe F5 Silverline a mis en œuvre les mesures d'atténuation nécessaires pour garantir que les applications clientes sont protégées contre les vulnérabilités applicables. Le SOC F5 Silverline surveille en permanence les menaces et appliquera les mesures d'atténuation et de protection nécessaires en coordination avec notre équipe de recherche sur les menaces et nos clients. L'équipe Silverline fonctionne comme une extension de votre propre équipe AppSec, travaillant 24h/24 et 7j/7 en votre nom.

Si vous avez des questions spécifiques sur votre configuration Silverline, veuillez contacter le SOC à l'adresse suivante : support@f5silverline.com et pour en savoir plus sur les services Silverline, veuillez visiter : https://www.f5.com/products/security/silverline

Pile de menaces

F5 a récemment acquis Threat Stack et salue les importantes capacités d'inspection, de détection et de reporting offertes par le service Threat Stack. Le service Threat Stack inclut déjà plusieurs règles de détection qui peuvent indiquer la compromission de Log4j, notamment le lancement de services en tant que root, les services exécutés à partir d'un shell et les tentatives d'escalade. Des détails supplémentaires sont disponibles dans cet article de blog .

Si vous êtes intéressé par les services Threat Stack pour vous aider à protéger vos applications contre les menaces Log4j actuelles ainsi qu'à détecter les activités inhabituelles, à garantir la conformité et à recevoir des informations complètes sur les applications, veuillez contacter votre représentant commercial F5 actuel ou visitez : https://www.threatstack.com

Sécurité des formes

La plupart des tentatives d’exploitation d’une vulnérabilité commencent par une reconnaissance automatisée. Dans cet esprit, la défense anti-bots basée sur l'IA de Shape Security constitue une première ligne de défense importante pour éliminer ces analyses automatisées et augmenter la difficulté pour les attaquants qui tentent de découvrir cette vulnérabilité dans vos applications Web accessibles sur Internet. Shape AI Cloud permet une adaptation en temps quasi réel aux attaques automatisées pilotées par des robots afin de suivre le rythme des tactiques en constante évolution des attaquants exploitant des botnets. Si vous souhaitez en savoir plus sur Shape, rendez-vous sur : https://www.f5.com/products/security/shape-security

Rester dans la boucle

Veuillez consulter nos avis de sécurité sur CVE-2021-44228 , CVE-2021-4104 et CVE-2021-45046 pour obtenir les informations les plus récentes sur les mesures d'atténuation F5. Pour plus de contexte, les clients peuvent en apprendre davantage à partir des ressources suivantes :

Autres blogs F5

• Comment atténuer les vulnérabilités de Log4j aujourd'hui et arrêter les exploits futurs par Catherine Newcomb et Navpreet Gill
• Enseignements de Log4j : Ne vous précipitez pas pour entreprendre des travaux de réhabilitation par Lori MacVittie

F5 Labs

• Explication de la vulnérabilité généralisée de Log4j
• Log4Shell : Redémarrer (les mêmes vieux) principes de sécurité dans son sillage

DevCentral

• DC Connects Live Show sur la vulnérabilité de Log4j2
• Atténuation de Log4j (CVE-2021-44228) avec des signatures personnalisées d'inspection du protocole AFM
• Protégez votre cluster Kubernetes contre la vulnérabilité Apache Log4j2 à l'aide de BIG-IP

NGINX

•  Atténuer la vulnérabilité de Log4j avec NGINX

Pile de menaces

• Détection de menaces de haute précision pour la vulnérabilité Log4j

Nous continuerons à fournir aux clients les dernières informations sur les vulnérabilités associées et ajouterons des liens vers les ressources ci-dessus. De plus, les clients peuvent s'abonner aux notifications concernant les versions de logiciels, les alertes de sécurité et d'autres mises à jour importantes.

_______

Par Scott Altman, Sr. Directeur des architectes des solutions de sécurité mondiales, F5