CVE-2021-45046, CVE-2021-44228 Detecção: Vulnerabilidades na Biblioteca Java Log4j

Mais uma dor de cabeça para as equipes de SOC — cuidado com a mais recente vulnerabilidade do Log4j, CVE-2021-45046! O mundo da cibersegurança foi abalado por um número crescente de tentativas de exploração do CVE-2021-44228, uma vulnerabilidade crítica zero-day que afeta a biblioteca de log do Java Apache Log4j, enquanto outra falha RCE de alta severidade no Log4j, rastreada como CVE-2021-45046, surge no cenário. 

Descrição do CVE-2021-45046

A mais recente vulnerabilidade CVE-2021-45046 foi descoberta apenas um dia após o lançamento da versão 2.16.0 do Log4j em 14 de dezembro recebendo a Pontuação CVSS de 3.7. Posteriormente, devido aos riscos altamente avaliados que ela representa, recebeu a classificação de impacto de segurança Crítica com uma pontuação aumentada dramaticamente para 9.0. De acordo com o aviso da Apache Software Foundation, a nova vulnerabilidade descoberta afeta todas as versões do Log4j de 2.0-beta9 a 2.15.0 (excluindo 2.12.2).

Descrição do Log4Shell (СVE-2021-44228)

Outra vulnerabilidade zero-day notória que foi descoberta pela primeira vez no Log4j, conhecida como Log4Shell or LogJam, é um problema de execução remota de código não autenticada permitindo comprometimento total do sistema. A falha é extremamente fácil de explorar, e com múltiplos PoCs se espalhando online, torna-se algo trivial para adversários. Como resultado, hackers podem lançar ataques de execução remota de código para obter controle total sobre o servidor afetado. 

A análise do CVE-2021-44228 mostra que todos os sistemas rodando o Log4j de 2.0-beta9 até 2.14.1 são vulneráveis. Além disso, já que o problema de segurança impacta as configurações padrão para a maioria dos frameworks Apache, como Apache Struts2, Apache Solr, Apache Druid, Apache Flink, uma ampla gama de softwares e aplicativos web usados por tanto empresas como usuários individuais estão expostos aos ataques. 

A equipe de segurança da Alibaba Cloud identificou e relatou a vulnerabilidade para a Apache no final de novembro de 2021. Notavelmente, foi inicialmente identificada em servidores relacionados a Minecraft, onde adversários tentaram executar código malicioso em clientes rodando a versão Java do extremamente popular jogo. Após a causa do problema ser identificada no Log4j, amostras de código de exploração rapidamente começaram a aparecer online.

Atualmente, especialistas em segurança estão relatando varreduras em toda a Internet para sistemas vulneráveis. Além disso, o CERT da Nova Zelândia alertou sobre múltiplas explorações in-the-wild.

CVE-2021-44228: Detecção RCE do Log4j

Todos os usuários usando versões vulneráveis do Log4j devem atualizar para log4j-2.15.0-rc1 o mais rápido possível. Além disso, as organizações são encorajadas a monitorar qualquer atividade maliciosa associada ao CVE-2021-44228 e buscar anomalias que provem que foram comprometidas. Para melhorar a detecção oportuna de ataques, a equipe da SOC Prime criou um lote de regras Sigma dedicadas. Profissionais de segurança podem baixar as regras da plataforma Detecção como Código da SOC Prime:

Padrões de Detecção de Exploração do Log4j RCE [CVE-2021-44228] (via servidor web)

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix e Open Distro.

A regra está alinhada com o último framework MITRE ATT&CK® v.10, abordando a tática de Acesso Inicial com Exploit de Aplicação Exposta Publicamente como técnica principal (T1190).

Padrões de Detecção de Exploração do Log4j RCE [CVE-2021-44228] (via proxy)

Padrões de Detecção de Exploração do Log4j RCE [CVE-2021-44228] (via palavras-chave)

Para ajudar as organizações a se manterem constantemente alertas, a equipe SOC Prime lançou recentemente a última regra baseada em Sigma para detectar tentativas potenciais de exploração do CVE-2021-44228. Esta regra detecta possíveis padrões de exploração do Log4j com base em logs de proxy e no download de um arquivo de classe malicioso que leva à criação de um shell bash reverso:

Possível Carregamento de Arquivo de Classe Java Remota Malicioso [Log4j/CVE-2021-44228] (via proxy)

CVE-2021-45046 Detecção e Mitigação

Todos os usuários usando Java 8 ou posterior devem atualizar para a última versão do Log4j 2.16.0, já que mitigações anteriores no Apache Log4j 2.15.0 pareciam incompletas. Para ajudar as organizações a detectar o CVE-2021-45046 e minimizar os riscos de tentativas de exploração, a equipe da SOC Prime lançou recentemente uma regra baseada em Sigma que identifica padrões de exploração do Log4j e entradas de log em qualquer arquivo de log disponível.

Padrões de Detecção de Exploração do Log4j [CVE-2021-45046] (via palavras-chave)

Inscreva-se gratuitamente na plataforma de Detecção como Código da SOC Prime para detectar as últimas ameaças em seu ambiente de segurança, melhorar sua fonte de logs e cobertura MITRE ATT&CK, e aumentar o ROI de cibersegurança da sua organização. Especialistas em segurança também podem se juntar ao nosso Programa de Recompensas por Ameaças para monetizar seu próprio conteúdo de detecção.

Ir para a Plataforma Junte-se ao Threat Bounty