BLOG

Como mitigar o Log4j hoje e impedir futuras explorações

Catarina Newcomb
Catarina Newcomb

Navi Gill

Navpreet Gill
Publicado em 10 de janeiro de 2022


O que é a vulnerabilidade Log4j?

Foram algumas semanas difíceis para muitos no mundo da TI. Em 9 de dezembro, uma vulnerabilidade crítica de dia zero foi descoberta e anunciada na biblioteca de registro onipresente da Apache Software Foundation, usada para aplicativos Java, conhecida como Log4j. Centenas de milhares de sites e aplicativos usam este software para realizar registros para que os desenvolvedores depurem seus sites e monitorem outras tendências para seus aplicativos e páginas da web. Estima-se que o framework Log4j seja usado em centenas de milhares de projetos de software de código aberto. Os desenvolvedores geralmente criam software a partir dessas ferramentas de código aberto sem examinar o código subjacente, que pode ter vulnerabilidades existentes.

Uma breve recapitulação da vulnerabilidade do Log4j e do tipo de exploração que ela permite que invasores executem:

F5 Labs afirma: “O Log4j tem uma vulnerabilidade de segurança não descoberta anteriormente, onde os dados enviados a ele por meio desse site — se contiverem uma sequência especial de caracteres — fazem com que o Log4j busque automaticamente software adicional de um site externo e o execute. Se um invasor explorar isso, ele poderá fazer com que o servidor que executa o Log4j execute qualquer software que ele quiser, incluindo software que pode assumir completamente o controle do servidor. Isso é conhecido como ataque de execução remota de código (RCE).”

Log4j tem alto potencial para disrupção empresarial

Devido à prevalência do Log4j, o CVE-2021-44228 inicial (apelidado de Log4Shell) foi determinado como uma vulnerabilidade crítica. A gravidade dessa vulnerabilidade, juntamente com o fato de que o próprio patch continha uma vulnerabilidade e precisava ser corrigido , significa que os profissionais de TI podem ter que lidar com as consequências dessa vulnerabilidade por um tempo. Isso, somado ao fato de que a equipe de TI precisa verificar referências aninhadas do Log4j — ou seja, verificar se alguma biblioteca em uso em seu software faz referência à biblioteca Log4j — significa que o Log4Shell pode resultar em um efeito cascata. Pode ser desafiador determinar o escopo total do impacto que a vulnerabilidade do Log4j e do Log4Shell pode ter na sua organização. Obtenha uma avaliação de ameaças gratuita se estiver preocupado que sua organização possa estar em risco.

Se você ainda não fez isso, a primeira coisa que qualquer organização deve fazer para mitigar o Log4j é PATCH! Servidores de patch executando Log4j. Aplique patches no software usando bibliotecas que executam o Log4j. Basta aplicar PATCH e continuar aplicando patches!

À medida que sua organização continua o processo essencial e abrangente de descobrir e corrigir essas vulnerabilidades, é essencial se proteger de ataques que usam exploits do Log4Shell e evitar que os danos se propaguem ainda mais caso um invasor já tenha se infiltrado em seu ambiente. Além disso, em 4 de janeiro, os EUA A Comissão Federal de Comércio emitiu um aviso de que as organizações que não corrigirem as vulnerabilidades do Log4J do Apache poderão enfrentar ações legais, enfatizando a importância do Log4j.

Mesmo que você esteja totalmente corrigido, é importante lembrar que o Log4j não é a primeira vulnerabilidade desse tipo e não será a última. É por isso que é essencial proteger-se proativamente contra vulnerabilidades atuais e futuras, além de ter um plano para proteger sua rede caso um invasor tire vantagem de uma vulnerabilidade em seus sistemas. Felizmente, uma estratégia de mitigação é relativamente fácil de implementar.

Quando se trata de mitigar vulnerabilidades como o Log4j, certifique-se de:

  1. Proteja proativamente sua organização contra ataques usando Log4Shell e outras vulnerabilidades desse tipo implementando um WAF
  2. Coloque salvaguardas para garantir que, se sua organização for atacada, você possa interromper a exploração antes que ela cause danos sérios à sua rede.
  3. Realizar uma auditoria para determinar o escopo total do impacto da vulnerabilidade
  4. Corrija todo o código que está usando ou referenciando a vulnerabilidade, usando sua auditoria para garantir que nenhuma exposição fique sem correção

Mitigando a vulnerabilidade Log4j com assinaturas bloqueando vetores de ataque conhecidos

Se não forem resolvidos, os adversários cibernéticos podem rapidamente assumir o controle de milhares de sites e aplicativos on-line, permitindo que roubem dados confidenciais. A solução mais eficaz é corrigir o código do aplicativo com a versão mais recente do Log4j e bloquear solicitações maliciosas com um firewall de aplicativo da web (WAF).

Talvez você também precise proteger sua organização contra ataques do Log4Shell ao instalar os patches necessários para a vulnerabilidade do Log4j em seus servidores e pilha de software vulneráveis. É aí que um WAF também pode ajudar.

As soluções WAF da F5 — todas construídas sobre o mecanismo WAF consistente e robusto da F5 e disponíveis em modelos de implantação e consumo para melhor atender às suas necessidades de segurança — ajudam a mitigar o impacto da vulnerabilidade Apache Log4j Remote Code Execution (RCE) em sua infraestrutura. A F5 oferece quatro opções para proteger seu aplicativo com nosso robusto mecanismo WAF:

  1. F5 WAF avançado
  2. WAF DE NGINX APP PROTECT
  3. Silverline WAF
  4. Volterra WAF

A F5 lançou um conjunto de assinaturas que bloqueiam vetores de ataque conhecidos para vulnerabilidades do Log4j. Tanto o F5 Advanced WAF quanto o NGINX App Protect WAF podem bloquear tentativas de exploração usando assinaturas específicas para injeção de Java Naming and Directory Interface (JNDI) e assinaturas genéricas de injeção de JNDI. Essas assinaturas fazem parte do conjunto de assinaturas de injeção de código do lado do servidor que está sendo atualizado com base na investigação contínua da ameaça e desvios de WAF conhecidos com novas regras para detectar ataques Log4Shell de forma eficaz. Dessa forma, o F5 WAF permite o “patching virtual”. Clique aqui para obter suporte de mitigação para produtos de segurança de aplicativos BIG-IP e NGINX.

O F5 Advanced WAF oferece proteções avançadas que vão muito além da simples defesa contra o OWASP Top 10 e é perfeito para organizações focadas em segurança que desejam autogerenciar e personalizar controles granulares para aplicativos tradicionais. Se você já é um cliente F5 BIG-IP, você já tem o WAF mais poderoso do setor — o mecanismo F5 WAF — em sua rede. O licenciamento do Advanced WAF no BIG-IP, especialmente se você for um licenciado F5 BEST, pode automatizar a mitigação de ameaças novas e contínuas, melhorar a eficácia da segurança para melhor proteção e desbloquear aprendizado de máquina e análise comportamental para proteção de aplicativos sem toque. 

Para uma solução WAF autogerenciada criada para sua equipe Agile DevOps e projetada para proteger sua infraestrutura moderna ou um ambiente Kubernetes, o NGINX App Protect WAF atenderá melhor às suas necessidades. Visite o blog Mitigating the log4j Vulnerability with NGINX para obter mais detalhes sobre o NGINX App Protect WAF.

Se você deseja aproveitar as mesmas proteções que teria com o Advanced WAF ou o NGINX App Protect WAF, mas precisa ou prefere uma abordagem mais prática para ajudar a mitigar explorações imediatamente, um serviço gerenciado como o Silverline WAF baseado em nuvem da F5 pode ser a opção perfeita. O Silverline WAF é o principal serviço WAF totalmente gerenciado da F5, fornecendo uma solução abrangente para proteger seus aplicativos em um ambiente híbrido ou multi-nuvem, com o suporte dos especialistas em segurança do SOC da F5. A equipe do F5 Silverline SOC implementou as mitigações necessárias, monitorando continuamente as ameaças e aplicando as mitigações e proteções necessárias contra vulnerabilidades como Log4j.

Nossa plataforma Volterra WAF também recebeu assinaturas atualizadas para mitigar ainda mais qualquer exposição relacionada às vulnerabilidades do Log4j. Essas assinaturas agora estão incluídas na política WAF padrão, e nenhuma ação adicional é necessária para que nossos clientes do Volterra WAF mitiguem os ataques Log4Shell. O Volterra WAF será a melhor opção para usuários que buscam um WAF nativo da nuvem com uma implantação baseada em SaaS.

As ofertas e serviços do F5 WAF — F5 Advanced WAF, NGINX App Protect WAF, F5 Silverline WAF e Volterra WAF — podem ser consumidos e implantados em conjunto onde quer que sejam necessários para melhor abordar e proteger seus aplicativos e se defender contra ameaças na camada de aplicativos.

Além disso, campanhas de ataques avançados são difíceis de detectar em ataques isolados. O F5 Threat Campaigns , disponível com o F5 Advanced WAF e/ou NGINX App Protect WAF, defende aplicativos e infraestrutura de TI contra ataques sofisticados, detectando com precisão e bloqueando proativamente as campanhas de ataque atuais. Embora os F5 WAFs sirvam por si só como um ponto de controle de segurança essencial, a inteligência de ameaças pode associar um único incidente de ataque a uma campanha mais ampla e sofisticada, permitindo que você se defenda contra ataques direcionados que podem escapar das políticas básicas de segurança do WAF. As Campanhas de Ameaças podem ser facilmente adicionadas à sua implantação do Advanced WAF e do NGINX App Protect WAF para automatizar a segurança para detectar e bloquear ameaças.

Estabeleça uma defesa contra ataques Log4Shell em caso de comprometimento

Considerando quantas bibliotecas usam o Log4j, pode ser desafiador determinar imediatamente o escopo total do impacto da vulnerabilidade para sua organização. Durante esse período, você pode, infelizmente, ficar vulnerável à exploração.

Por exemplo, um invasor pode criar uma solicitação para um endpoint desonesto para detectar e implantar um malware. Ou um invasor pode criar uma solicitação para um servidor, o que leva o servidor comprometido a executar comandos do hacker que são contrários à sua operação normal e comprometem sua organização.

Mesmo que um invasor já tenha explorado a exposição, você ainda não está sem opções. Felizmente, quando um invasor executa um pedaço de código remoto explorando o Log4Shell, você pode impedir que a exploração se propague na sua rede inspecionando o tráfego do servidor de saída.

Suponha que você tivesse uma solução na borda da sua rede que pudesse descriptografar e permitir a inspeção de pacotes de tráfego criptografados. Nesse caso, você pode detectar malware ou tráfego malicioso propagado devido a uma vulnerabilidade do Log4j e bloqueá-lo antes que ele cause mais danos. Um exemplo seria entrar em contato com um servidor de comando e controle para lançar mais ataques ou até mesmo exfiltrar dados. Como os servidores normalmente são conectados à Internet, o tráfego do seu servidor passará pelo seu ambiente via TLS. Portanto, inspecionar o tráfego criptografado do servidor é fundamental para conter e interromper a propagação de um ambiente já comprometido e vulnerável.

Usar um produto como o F5 SSL Orchestrator fornece visibilidade do tráfego criptografado e interrompe ameaças criptografadas, ajudando a realizar análises de saída descriptografadas. O SSL Orchestrator descriptografa o tráfego que atravessa sua rede, até mesmo o tráfego do servidor, e envia o tráfego para serviços de inspeção de terceiros (como NGFW, WAF, SWG, IPS ou DLP), que podem então permitir, bloquear ou ignorar o tráfego para garantir que nenhum malware criptografado se espalhe por sua rede no caminho; e nenhum tráfego malicioso destinado a C2 (servidores de comando e controle) ou dados exfiltrados podem sair do seu ambiente. O SSL Orchestrator foi projetado e desenvolvido especificamente para aprimorar a infraestrutura SSL/TLS, fornecer soluções de segurança com visibilidade do tráfego criptografado SSL/TLS e otimizar e maximizar seus investimentos em segurança existentes para proteger sua rede contra ataques em cascata.

Conclusão

Log4j não é a primeira vulnerabilidade grave e de amplo alcance, e não será a última. Por mais importante que seja se proteger contra explorações do Log4j agora — que ainda estão em andamento no momento da publicação — é igualmente essencial fortalecer a segurança de seus aplicativos e redes para proteger seus ativos da próxima vulnerabilidade crítica inevitável.

Quando a próxima vulnerabilidade crítica surgir, estar preparado significa seguir estes quatro passos. O ideal é que, antes que uma vulnerabilidade seja anunciada, você utilize um WAF para que seus aplicativos fiquem protegidos de vetores de ataque conhecidos, como o Log4Shell. Além disso, e também idealmente antes que uma vulnerabilidade seja anunciada, tenha uma solução protegendo sua rede para que, se você for atacado durante o processo de aplicação de patches e os invasores conseguirem se infiltrar em sua rede, você possa impedir que hackers usem um exploit para controlar seus servidores ou exfiltrar seus dados. Então, depois que uma vulnerabilidade é anunciada, a próxima ação é determinar sua exposição. ( A avaliação gratuita de ameaças da F5 pode ajudar!) Em seguida, remendo, remendo, remendo! Com essas quatro estratégias em prática, você estará preparado para a próxima vulnerabilidade quando ela surgir.

A F5 pode ajudar você a criar um plano de mitigação abrangente que impeça invasores de explorar uma vulnerabilidade e proteja seu ambiente de danos ou comprometimentos adicionais, mesmo após uma exploração bem-sucedida.

Caso tenha mais dúvidas sobre como mitigar a vulnerabilidade do Log4j ou outras vulnerabilidades semelhantes, entre em contato com sua equipe de vendas da F5 ou entre em contato conosco pelo e-mail sales@f5.com . Para se manter atualizado sobre como a F5 responde ao Log4j, siga nosso blog , que é atualizado conforme novas informações ficam disponíveis.

Se você estiver sob ataque e precisar de assistência urgente, ligue para nosso Centro de Operações de Segurança (SOC) em (866) 329-4253 ou +1 (206) 272-7969. Para números de telefone internacionais, visite https://www.f5.com/attack . Os clientes atuais do BIG-IP podem entrar em contato com a Equipe de Resposta a Incidentes de Segurança.