Certamente, todos nós lemos ou nos encontramos falando sobre vulnerabilidade crítica de “Apache Log4j”, mas o que é isso? Por que isso está acontecendo? A quem diz respeito?
Em termos gerais, foi descoberta uma vulnerabilidade dia zero (0-day) chamada Log4Shell e esta poderia ser explorada por atacantes remotos em todo o mundo.
Uma vulnerabilidade dia zero, é uma vulnerabilidade que acaba de ser descoberta e que ainda não tem um remendo que a solucione, então a principal ameaça reside em que, até que se lance o patch e os usuários o instalem em seus equipamentos, os atacantes podem explorar a vulnerabilidade e tiar proveito desta falha de segurança.
Dito isto, uma vulnerabilidade crítica de execução de código remoto foi revelada na popular biblioteca Apache Foundation Log4j, biblioteca de registro projetada para substituir o pacote log4j embutido que é frequentemente usado em projetos populares em Java, como Apache Struts 2 e Apache Solr.
Pode permitir que um atacante assuma o controle de um servidor afetado. Ele pode ser usado em configurações padrão por um atacante remoto não autenticado para apontar para aplicativos que usam a biblioteca Log4j.
Esta vulnerabilidade, nomeada como CVE-2021-44228, recebeu uma pontuação de severidade CVSS de um máximo de 10.0, e acredita-se amplamente que é fácil de explorar.
A Cisco Talos está ciente do CVE-2021-44228, uma vulnerabilidade ativamente explorada no Apache Log4j, liberando conteúdo e inteligência para defender contra a exploração desta vulnerabilidade.
A vulnerabilidade afeta uma biblioteca de registro Java amplamente utilizada que muitas grandes organizações podem ter em seu ambiente. Até agora, os principais alvos incluíram a Apple e o popular jogo de vídeo “Minecraft.”
O Apache lançou uma versão atualizada, Log4j 2.15.0. Portanto, a Talos está incentivando todos os clientes a avaliar o seu uso interno e de terceiros do Log4j para configurações vulneráveis e tomar medidas corretivas. Se você não tem certeza ou não pode determinar se a sua implementação é vulnerável, seja agressivo e utilize: 1) a nova versão; 2) a correção; 3) mitigações através de soluções.
Devido à gravidade desta vulnerabilidade, estamos liberando assinatura para todos os pacotes de regras de assinantes de SNORT ao mesmo tempo.
Além disso, esta biblioteca também pode ser usada como uma dependência por uma variedade de aplicativos da web encontrados em ambientes empresariais, incluindo a Elastic.
Devido à natureza desta vulnerabilidade, o Cisco Talos acredita que será uma vulnerabilidade amplamente explorada entre os atacantes no futuro, e os usuários devem corrigir os produtos afetados e implementar soluções de mitigação o mais rápido possível.
A Cisco Talos lançou os seguintes Snort SIDs para detectar tentativas de exploração dirigidas ao CVE-2021-44228: 58722 – 58744 e 300055 – 300058.
Estão também disponíveis duas assinaturas ClamAV: Java.Exploit.CVE_2021_44228-9914600-1 e Java.Exploit.CVE_2021_44228-9914601-1.
Atualização de 12 de dezembro
A Cisco Talos observou atividades maliciosas relacionada ao CVE-2021-44228 a partir de 02 dde dezembro de 2021.
Mitigações
O AppDynamics com o Cisco Secure Application, que está integrado aos agentes do AppDynamics Java APM, protege os ambientes através do monitoramento de código para bibliotecas vulneráveis e ataques observados durante o tempo de execução. Consulte a seção Mitigações para obter mais informações.
Infiltrtação através de sistemas
A Cisco Talos também observou um tempo de espera entre os scanners de massa dos atacantes e as chamadas de sistemas vulneráveis, isto pode indicar que o exploit está sendo ativado à medida que se abre caminho através da infraestrutura de uma empresa afetada e é processado por sistemas internos (p. ex., sistemas de registro, Siems, etc.) que podem estar completamente separados do sistema de destino previsto.
Os sistemas de inspecção, coleta de eventos ou registos vulneráveis ao longo da comunicação podem também desencadear a exploração, o que poderá conduzir a uma chamada de retorno para a infra-estrutura atacante, mesmo que o objectivo pretendido não seja vulnerável.
É também provável que os sistemas internos vulneráveis possam ser alvo de atividades pós-exploração para efeitos de movimentaçõ lateral dentro da empresa.
Vazamento de informação
Os atacantes também podem aproveitar esta vulnerabilidade como um meio de divulgação de informações para exfiltrar credenciais (e outras configurações) armazenadas em arquivos e variáveis de ambiente de um sistema vulnerável. Por exemplo, o AWS CLI utiliza variáveis de ambiente e arquivos de configuração que podem ser exfiltrados através da exploração do CVE-2021-44228.
ATUALIZAÇÃO 13 de dezembro
Este exploit está seguindo um padrão que geralmente vemos em vulnerabilidades que surgem inesperadamente. Os primeiros incidentes dispersos de atacantes desconhecidos só foram observados olhando para trás na telemetria e demonstrando a adoção precoce pelos cryptominers e botnets. Se o padrão se mantém, e esperamos que o faça, muitos atacantes com diferentes objetivos, que vão desde o financeiro à espionagem, adotarão rapidamente esta postura nos próximos dias para assegurar o acesso já seja para uso imediato, para revenda ou pontos de apoio a longo prazo.
Também observamos várias técnicas de ofuscamento à medida que agentes de ameaças tentam evitar mecanismos de detecção baseados em padrões que podem ter sido implantados inicialmente à medida que os detalhes dessa vulnerabilidade começam a surgir. É provável que continuemos vendo técnicas adicionais de ofuscação avançando.
Também é importante notar que dentro de nossa telemetria também observamos outros protocolos utilizados para payload maliciosos. Note que você também pode usar o seguinte: LDAP(S), RMI, DNS, NIS, IIOP, CORBAL, NDS, HTTP
Para obter detalhes sobre como esta vulnerabilidade afeta os produtos da Cisco, consulte a informação aqui
Para obter informações relacionadas com a resposta global da Cisco, consulte aqui.