Узнайте, как клиенты Palo Alto Networks могут защититься от критической уязвимости Apache Log4j с помощью NGFW, используя автоматизированные средства предотвращения и best practices.
Краткое описание: Как работает эксплойт
Библиотека Apache Log4j позволяет разработчикам регистрировать различные данные в своих приложениях. При определенных обстоятельствах регистрируемые данные могут быть получены в результате ввода данных пользователем. Если этот ввод содержит специальные символы, как показано на шаге 1 приведенного выше примера, то можно вызвать поиск Java-методом, как показано на шаге 2. Этот метод может быть перенаправлен для загрузки и выполнения Java-класса, размещенного на внешнем сервере злоумышленника на шаге 3. Вредоносный класс Java затем выполняется на сервере-жертве, который использует уязвимый экземпляр log4j. Для получения полной разбивки, описания и самой последней информации об уязвимости ознакомьтесь с подробным отчетом команды подразделения 42.
Автоматизированные профилактические меры и передовые методы для помощи в обнаружении и предотвращении уязвимости Log4j
Как видите, Palo Alto Networks через службу предотвращения угроз и автоматическое обновление контента активно выпускает сигнатуры на протяжении всей временной шкалы этой уязвимости.
Следующие меры защиты Palo Alto Networks могут помочь защитить клиентов от этой уязвимости:
- PA-Series Аппаратные платформы серии PA для сетевой безопасности предприятия
- VM-Series Виртуальные платформы серии VM для сетевой безопасности в нескольких облаках
- CN-Series Контейнерные платформы серии CN для обеспечения безопасности контейнеров
Множественные дополнительные меры безопасности в сочетании с передовыми практиками могут помочь защитить организации от уязвимости:
Подписка Threat Prevention может автоматически блокировать сеансы, связанные с шагом 1 этой атаки с использованием идентификаторов угроз 91991, 91994, 91995, 92001, 92007 и 92012 (минимум приложений и обновление контента угрозы 8506). Обратите внимание: ситуация с этой уязвимостью быстро развивается, и мы рекомендуем клиентам устанавливать последние обновления содержимого в соответствии с best practices, поскольку мы продолжаем добавлять подписи для улучшения защиты.
Если ваша организация уже соответствует нашим рекомендациям по обеспечению безопасности, то вы получите автоматическую защиту от нескольких этапов этой атаки без ручного вмешательства.
Обратите внимание, что, хотя мы предоставляем несколько способов защиты от этой атаки, клиенты, использующие Log4j в своих средах, должны исправлять или применять обходные пути, предложенные соответствующими поставщиками, а не полагаться только на сигнатуры предотвращения угроз.
Рекомендации по предотвращению угроз
Также в соответствии с best practices безопасности мы рекомендуем использовать профили безопасности в политиках, как в этом примере:
Все идентификаторы угроз, относящиеся к Log4Shell, классифицируются как критические, поэтому указанный профиль защиты от уязвимостей должен быть похож на этот пример:
Вы также можете подтвердить наличие всех подписей, разработанных для защиты от CVE-2021-44228, CVE-2021-45046 и CVE-2021-45105, запросив CVE-ID на вкладке Exceptions.
- На NGFW необходимо включить расшифровку SSL, чтобы блокировать известные атаки через HTTPS.
- Для блокирования Шага 2 атаки следует использовать фильтрацию исходящего приложения. Используйте App-ID для ldap и rmi-iiop, чтобы заблокировать все RMI и LDAP из ненадежных сетей и неожиданных источников.
- Шаг 3 атаки требует доступа к вредоносному Java-коду, размещенному на внешнем сервере. Наша служба расширенной фильтрации URL-адресов и безопасности DNS постоянно отслеживает и блокирует новые, неизвестные и известные вредоносные домены (веб-сайты), чтобы заблокировать эти небезопасные внешние подключения.
Профили безопасности следует применять к политикам безопасности аналогично приведенному ниже примеру. Вы также можете использовать группы профилей безопасности, чтобы минимизировать ошибки конфигурации:
Рекомендации по расширенной фильтрации URL-адресов
Профили расширенной фильтрации URL-адресов должны соответствовать этому примеру передовой практики:
В дополнение к блокировке категорий:
- Вредоносное ПО
- Командование и управление
- Фишинг
- Нежелательное ПО
Также рассмотрите возможность повышения безопасности для недавно зарегистрированных доменов и категорий повышенного риска.
Рекомендации по безопасности DNS
Безопасность DNS настраивается как часть профилей защиты от программ-шпионов и должна соответствовать передовой практике, подобной приведенной в этом примере:
Выявление уязвимых устройств с помощью безопасности IoT-устройств
Palo Alto Networks IoT Security помогает идентифицировать устройства IoT и серверы управления устройствами IoT, на которых используются CVE-2021-44228, CVE-2021-45046 или CVE-2021-45105, на основе конкретных индикаторов компрометации или поведения, наблюдаемого в сетевом трафике.
Когда IoT Security определяет личность устройства IoT и, в частности, библиотеки, которые оно использует, он может предупредить вас, если на нем запущена уязвимая библиотека Apache Log4j. Если это так, он отображает предупреждение об уязвимости на портале IoT Security, чтобы вы могли предпринять дальнейшие действия, например, обновить устройство до программного исправления, которое не использует уязвимую библиотеку.
Если вы обнаружите какое-либо устройство, которое уязвимо для этих CVE или демонстрирует аномальное поведение, или получили предупреждение системы безопасности, подумайте о том, чтобы предпринять следующие действия:
- Установите на устройстве патч, чтобы использовать последнюю версию (2.17.0 или новее) Apache Log4j.
- Если вы не можете обновить версию Log4j 2, доступны следующие меры:
- Удалите JndiLookup.class из пути к классам и перезапустите службу
zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup.class
- Отключить JNDI
- Установите spring.jndi.ignore = true в файле spring.properties
Если вы не можете исправить свое устройство или отключить JNDI, примите следующие меры, чтобы минимизировать риск и обеспечить безопасность вашей сети:
- Настройте уязвимое устройство так, чтобы оно было недоступно из Интернета. Если подключение к Интернету необходимо, ограничьте количество открытых портов, чтобы ограничить любые бэкдоры.
- Настройте сегменты сети так, чтобы уязвимое устройство было защищено брандмауэром и изолировано от гостевых и бизнес-сетей.
- Реализуйте сетевые политики с нулевым доверием для защиты любых критически важных активов.
- Блокируйте любой аномальный трафик устройств Интернета вещей.
- Поместите в карантин любое взломанное устройство, чтобы предотвратить распространение атак на другие уязвимые устройства в том же сегменте сети.
- Посетите этот веб-сайт для получения дополнительной информации о безопасности Интернета вещей Palo Alto Networks .
Об уязвимости Log4j
9 декабря 2021 года была обнаружена критическая уязвимость удаленного выполнения кода (RCE) в пакете регистрации Java Apache Log4j. Учитывая, насколько часто эта библиотека с открытым исходным кодом используется в корпоративном программном обеспечении, команды по всей отрасли находятся в состоянии повышенной готовности. Уязвимость отслеживается как CVE-2021-44228, CVE-2021-45046 и CVE-2021-45105. Он также известен как «Log4Shell».
Злоумышленники, не прошедшие проверку подлинности, могут использовать Log4Shell и заставить уязвимую систему загружать вредоносное ПО, что позволяет им получить контроль над серверами, расположенными в корпоративных сетях. Уязвимое программное обеспечение преобладает во многих приложениях, и из-за недавнего обнаружения этой уязвимости многие системы, как локальные, так и облачные, еще не исправлены. Как и в случае со многими уязвимостями RCE с высокой степенью серьезности, в Интернете началось массовое сканирование Log4Shell с целью поиска и использования незащищенных систем. Таким образом, постоянно поступают сообщения об активной эксплуатации с зарегистрированными попытками использовать уязвимость для подключения устройств к ботнету и сброса дополнительных полезных нагрузок, таких как Cobalt Strike и майнеры криптовалюты.
Чтобы быть в курсе последних результатов анализа и устранения последствий Log4j, а также последних обновлений уязвимостей, продолжайте проверять блог Unit 42 или просматривать по запросу повторение брифинга Unit 42: обновление угроз Apache Log4j.