Vulnerabilitat Apache Log4j

S'ha fet pública una greu vulnerabilitat de codi remot a Log4J d'Apache, un sistema de registre molt comú utilitzat pels desenvolupadors d'aplicacions web i de servidor basades en Java i altres llenguatges de programació.

La vulnerabilidad, a la que se le ha asignado el CVE-2021-44228 i anomenada  Log4Shell o LogJam, va ser reportada el passat 9 de desembre per l'enginyer de ciberseguretat p0rz9, qui va publicar un repositori a GitHub anunciant el seu descobriment.

La vulnerabilidad afecta a una amplia gama de servicios y aplicaciones en servidores, lo que la hace extremadamente peligrosa, y las últimas actualizaciones para esas aplicaciones de servidor son urgentes.

Donada la gravetat i la naturalesa generalitzada d'aquesta vulnerabilitat, es recomana als clients que verifiquin la presència / ús de Log4J en totes les aplicacions, sistemes i serveis al seu entorn.

Recomanacions:

Reviseu si esteu utilitzant log4j

• PowerShell
  • gci 'C:\' -rec -force -include *.jar -ea 0 | foreach {select-string «JndiLookup.class» $_} | select -exp Path
• Linux
  • find / 2>/dev/null -regex «.*.jar» -type f | xargs -I{} grep JndiLookup.class «{}»
• Revisar fitxers de configuració cercant log4j2.formatMsgNoLookups i la variable d'entorn LOG4J_FORMAT_MSG_NO_LOOKUPS. Han d'estar a True.
• Revisar aplicacions de Java
  • https://github.com/hillu/local-log4j-vuln-scanner
  • https://github.com/mergebase/log4j-detector
• JAR file hashes
  • https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes
• Class file hashes (2.15.0 no és vulnerable, però està inclosa)
  • https://gist.github.com/olliencc/8be866ae94b6bee107e3755fd1e9bf0d
• JAR and Class hashes
  • https://github.com/nccgroup/Cyber-Defence/tree/master/Intelligence/CVE-2021-44228
• Escaneo de vulnerabilidad en Go
  • https://github.com/hillu/local-log4j-vuln-scanner
• Conjunt de regles YARA per a la detecció de versions de log4j vulnerables a CVE-2021-44228 per a la signatura de JndiManager prior to 2.15.0.
  • https://github.com/darkarnium/CVE-2021-44228

Reviseu si s'ha tingut un augment de connexions DNS.

• Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa.
• Aplicar llistes blanques a la sortida d'internet en cas de dubte d'estar fent servir la llibreria log4j
  • Revisar si teniu un dels següents aplicatius:
    https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
• Revisar en logs els IOC següents:
  https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
  En cas de sospites revisar els logs de les aplicacions per cercar “jndi” es poden recolzar en els següents scripts:
  https://github.com/Neo23x0/log4shell-detector/
• Revisar al Windows si s'han creat tasques programades, ia Linux al Cron.

Referències:

• https://www.reddit.com/r/blueteamsec/comments/rd38z9/log4j_0day_being_exploited
• Sistemes vulnerables i situació
• Avís a Cisco
• Avís a SOPHOS