BLOG

Proteção contra a vulnerabilidade do Apache Log4j2 (CVE-2021-44228)

Miniatura F5
F5
Publicado em 14 de dezembro de 2021

Observe: Desde a publicação inicial deste blog, a F5 revisou CVEs subsequentes (CVE-2021-45046, CVE-2021-4104 e CVE-2021-45105) e determinou que os mecanismos de proteção descritos abaixo também são eficazes para essas vulnerabilidades.

Desde o surgimento do problema em 9 de dezembro, equipes de segurança ao redor do mundo têm trabalhado sem parar para entender a ameaça representada pela vulnerabilidade de segurança do Apache Log4j2 (CVE-2021-44228), identificar sua exposição e implementar medidas de mitigação. Muito já foi escrito sobre a vulnerabilidade, também conhecida como Log4Shell, mas, resumidamente, é uma vulnerabilidade de execução remota de código, o que significa que os invasores podem enviar dados específicos para um aplicativo vulnerável para desencadear uma série de ações que resultam no comprometimento do aplicativo de destino. Os invasores podem explorar isso de várias maneiras, por exemplo, instalando um minerador de criptomoedas ou extraindo dados confidenciais do aplicativo.

Vulnerabilidades, explorações, mitigação e remediação são sempre perturbadoras, e a missão da F5 é fazer o que pudermos para fornecer conhecimento especializado e suporte aos clientes. As equipes da F5 têm trabalhado ativamente em ferramentas e orientações para ajudar equipes de aplicativos e segurança, já sobrecarregadas, a mitigar essa ameaça significativa ao setor.

Avaliamos nossos produtos e serviços F5, determinando com base nas informações atuais que os produtos BIG-IP, NGINX, Silverline, Volterra e Threat Stack não são vulneráveis a esses problemas. Para os Serviços Gerenciados F5, entramos em contato com os clientes por meio de nossos canais de comunicação normais. Nossos avisos de segurança no AskF5 sempre terão as informações mais atualizadas sobre nossos produtos e mitigações para vulnerabilidades do Log4j:

Aproveitar os produtos e serviços da F5 para mitigar as vulnerabilidades do Log4j é um meio rápido e eficaz de mitigar o risco que esses CVEs representam para o seu ambiente. Para uma correção de longo prazo, pedimos que nossos clientes e suas equipes de desenvolvimento atualizem ou removam (se não forem mais necessárias) quaisquer bibliotecas Log4j vulneráveis dos aplicativos.

Abaixo, você encontrará informações mais detalhadas sobre as maneiras como oferecemos suporte por meio de soluções de segurança abrangentes e responsivas em nosso portfólio de produtos e serviços.

Equipe de Resposta a Incidentes de Segurança F5 (SIRT)

Se você estiver sob ataque ou estiver preocupado com a exposição a uma vulnerabilidade, entre em contato com o Suporte da F5 e solicite um encaminhamento para o F5 SIRT . Esta equipe está disponível 24 horas por dia, 7 dias por semana, para fornecer orientação sobre tudo, desde a aplicação de patches em softwares e sistemas F5 até a configuração e assistência iRule para mitigar ataques ou exposição a vulnerabilidades.

BIG-IP Advanced WAF

A F5 lançou um conjunto de assinaturas para BIG-IP Advanced WAF e ASM que bloqueiam vetores de ataque conhecidos para vulnerabilidades Log4j. Nove assinaturas totais da equipe de pesquisa de ameaças do F5 estão disponíveis no momento em que este artigo foi escrito, incluindo duas que estavam disponíveis poucas horas após a publicação inicial do CVE. Estamos atualizando continuamente as assinaturas para aumentar a proteção contra tentativas de desvio, portanto, certifique-se de ter o pacote mais recente de atualização de assinatura de ataque (ASU).

Você pode aprender mais sobre como mitigar essas vulnerabilidades por meio de sua política BIG-IP Advanced WAF (ou ASM) existente neste aviso de segurança .

iRule de grande IP

Para clientes do F5 BIG-IP que não usam recursos avançados de WAF ou ASM, uma iRule do F5 pode ser aplicada a aplicativos para detectar, registrar e descartar o tráfego ofensivo direcionado a CVEs específicos. Nosso aviso de segurança inicial tem mais informações e orientações para implementar o iRule.

NGINX App Protect

Os clientes do NGINX App Protect recebem atualizações de assinatura simultaneamente aos clientes do BIG-IP Advanced WAF, garantindo segurança consistente do aplicativo, independentemente da plataforma F5. Para mitigar vulnerabilidades relacionadas por meio da configuração do NGINX App Protect, certifique-se de que suas assinaturas estejam atualizadas, revise este documento e certifique-se de que o tipo de ataque “Injeção de código do lado do servidor” esteja habilitado para sua política WAF. Contexto adicional está disponível em uma postagem de blog publicada recentemente.

Volterra WAF

Nossa plataforma Volterra WAF, assim como NGINX App Protect e BIG-IP Advanced WAF, recebeu assinaturas atualizadas para mitigar ainda mais qualquer exposição relacionada às vulnerabilidades do Log4j. Essas assinaturas agora estão incluídas na política WAF padrão e nenhuma ação adicional é necessária para que nossos clientes do Volterra WAF mitiguem essa ameaça.

F5 Linha Prata

A equipe da F5 Silverline implementou as mitigações necessárias para garantir que os aplicativos dos clientes estejam protegidos contra as vulnerabilidades aplicáveis. O F5 Silverline SOC monitora continuamente as ameaças e aplicará as mitigações e proteções necessárias em coordenação com nossa equipe de pesquisa de ameaças e nossos clientes. A equipe Silverline opera como uma extensão da sua própria equipe de AppSec, trabalhando 24 horas por dia, 7 dias por semana em seu nome.

Se você tiver dúvidas específicas sobre sua configuração Silverline, entre em contato com o SOC em: support@f5silverline.com e para saber mais sobre os serviços Silverline, visite: https://www.f5.com/products/security/silverline

Threat Stack

A F5 adquiriu recentemente o Threat Stack e dá boas-vindas aos recursos significativos de inspeção, detecção e relatórios que o serviço Threat Stack oferece. O serviço Threat Stack já inclui diversas regras de detecção que podem indicar o comprometimento do Log4j, incluindo o lançamento de serviços como root, serviços executados a partir de um shell e tentativas de escalonamento. Mais detalhes estão disponíveis nesta postagem do blog .

Se você estiver interessado nos serviços do Threat Stack para ajudar a proteger seus aplicativos contra ameaças atuais do Log4j, bem como detectar atividades incomuns, garantir a conformidade e receber insights abrangentes sobre os aplicativos, entre em contato com seu atual representante de vendas da F5 ou visite: https://www.threatstack.com

Shape Security

A maioria das tentativas de explorar qualquer vulnerabilidade começa com reconhecimento automatizado. Com isso em mente, a Bot Defense orientada por IA da Shape Security é uma importante primeira linha de defesa para eliminar essas varreduras automatizadas e aumentar a dificuldade para invasores que tentam descobrir essa vulnerabilidade em seus aplicativos web voltados para a Internet. O Shape AI Cloud permite adaptação quase em tempo real a ataques automatizados conduzidos por bots para acompanhar as táticas em constante mudança dos invasores que operam botnets. Se você quiser saber mais sobre o Shape, visite: https://www.f5.com/products/security/shape-security

Mantendo-se informado

Visite nossos avisos de segurança sobre CVE-2021-44228 , CVE-2021-4104 e CVE-2021-45046 para obter as informações mais atualizadas sobre as mitigações do F5. Para mais contexto, os clientes podem aprender mais com os seguintes recursos:

Blogs F5 adicionais

F5 LABS

DEVCENTRAL

NGINX

Threat Stack

Continuaremos a fornecer aos clientes as informações mais recentes sobre vulnerabilidades relacionadas e adicionaremos links para os recursos acima. Além disso, os clientes podem assinar notificações sobre lançamentos de software, alertas de segurança e outras atualizações importantes.

_______

Por Scott Altman, Sr. Diretor de Arquitetura de Soluções de Segurança Global, F5