Vulnerabilitat Apache Log4j

S'ha fet pública una greu vulnerabilitat de codi remot a Log4J d'Apache, un sistema de registre molt comú utilitzat pels desenvolupadors d'aplicacions web i de servidor basades en Java i altres llenguatges de programació.

La vulnerabilitat, a la qual se li ha assignat el CVE-2021-44228 i anomenada  Log4Shell o LogJam, va ser reportada el passat 9 de desembre per l'enginyer de ciberseguretat p0rz9, qui va publicar un repositori a GitHub anunciant el seu descobriment.

La vulnerabilitat afecta una àmplia gamma de serveis i aplicacions en servidors, cosa que la fa extremadament perillosa, i les últimes actualitzacions per a aquestes aplicacions de servidor són urgents.

Donada la gravetat i la naturalesa generalitzada d'aquesta vulnerabilitat, es recomana als clients que verifiquin la presència / ús de Log4J en totes les aplicacions, sistemes i serveis al seu entorn.

Recomanacions:

Reviseu si esteu utilitzant log4j

• PowerShell
  • gci 'C:\' -rec -force -include *.jar -ea 0 | foreach {select-string «JndiLookup.class» $_} | select -exp Path
• Linux
  • find / 2>/dev/null -regex «.*.jar» -type f | xargs -I{} grep JndiLookup.class «{}»
• Revisar fitxers de configuració cercant log4j2.formatMsgNoLookups i la variable d'entorn LOG4J_FORMAT_MSG_NO_LOOKUPS. Han d'estar a True.
• Revisar aplicacions de Java
  • https://github.com/hillu/local-log4j-vuln-scanner
  • https://github.com/mergebase/log4j-detector
• JAR file hashes
  • https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes
• Class file hashes (2.15.0 no és vulnerable, però està inclosa)
  • https://gist.github.com/olliencc/8be866ae94b6bee107e3755fd1e9bf0d
• JAR and Class hashes
  • https://github.com/nccgroup/Cyber-Defence/tree/master/Intelligence/CVE-2021-44228
• Escaneig de vulnerabilitat a Go
  • https://github.com/hillu/local-log4j-vuln-scanner
• Conjunt de regles YARA per a la detecció de versions de log4j vulnerables a CVE-2021-44228 per a la signatura de JndiManager prior to 2.15.0.
  • https://github.com/darkarnium/CVE-2021-44228

Reviseu si s'ha tingut un augment de connexions DNS.

• Els intents durant el cap de setmana han estat focalitzats en l'ús de les POC que exploten la vulnerabilitat connectant amb servidors de DNS. Un augment fora del que és habitual en les connexions sortints a DNS durant el cap de setmana passat pot ser indicatiu d'explotació reeixida.
• Aplicar llistes blanques a la sortida d'internet en cas de dubte d'estar fent servir la llibreria log4j
  • Revisar si teniu un dels següents aplicatius:
    https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
• Revisar en logs els IOC següents:
  https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
  En cas de sospites revisar els logs de les aplicacions per cercar “jndi” es poden recolzar en els següents scripts:
  https://github.com/Neo23x0/log4shell-detector/
• Revisar al Windows si s'han creat tasques programades, ia Linux al Cron.

Referències:

• https://www.reddit.com/r/blueteamsec/comments/rd38z9/log4j_0day_being_exploited
• Sistemes vulnerables i situació
• Avís a Cisco
• Avís a SOPHOS