Palo Alto Networks. Полная защита от уязвимости Apache Log4j
Недавние уязвимости Apache Log4j представляют собой особенно опасную проблему по двум причинам.
Во-первых, Apache Log4j используется в качестве внутренней библиотеки журналов, которая включена во многие широко используемые приложения с открытым исходным кодом и внутренние разработки, используемые предприятиями по всему миру. Проблемы с Apache Log4j затрагивают всех.
Во-вторых, восстановление может занять несколько недель. Лучший способ обезопасить себя – установить последнюю версию приложения; однако для этого необходимо, чтобы вы, во-первых, знали, где нужно исправить каждый экземпляр, а во-вторых убедиться, что установлена Java 8. Существует множество причин, по которым клиенты могут не иметь возможности обновиться в течение нескольких дней или недель. Необходимо приложить большие усилия для обновления Java перед применением патча и пройти полный цикл тестирования перед обновлением Log4j, чтобы он не нарушал работу приложений.
Как клиенты Palo Alto Networks защищены от уязвимости Apache Log4j
Клиенты Palo Alto Networks защищены от атак, использующих уязвимость удаленного выполнения кода (RCE) Apache Log4j, как описано ниже. Кроме того, мы предлагаем ряд решений, которые помогут выявлять уязвимые приложения и при необходимости реагировать на инциденты.
Клиенты Palo Alto Networks защищены нашими межсетевыми экранами нового поколения с активной службой безопасности предотвращения угроз, Cortex XDR и Prisma Cloud:
– Palo Alto Networks Next-Generation Firewalls (PA-Series, VM-Series или CN-Series) или Prisma Access с подпиской Threat Prevention могут автоматически блокировать сеансы, связанные с этой уязвимостью. Клиенты, уже соблюдающие наши передовые методы обеспечения безопасности, получают автоматическую защиту от этих атак без ручного вмешательства. Эти сигнатуры блокируют первую стадию атаки. Заказчикам следует убедиться, что передовые методы профилей безопасности применяются к соответствующим политикам безопасности и установлены ли критические уязвимости для сброса или действий по умолчанию. Кроме того, Log4j RCE требует доступа к внешнему коду. Наша служба безопасности Advanced URL Filtering постоянно отслеживает и блокирует новые, неизвестные и известные вредоносные домены (веб-сайты), чтобы заблокировать эти небезопасные внешние подключения. Кроме того, подходящая фильтрация исходящих приложений может использоваться для блокировки второй стадии атаки. Используйте App-ID для ‘ldap’ и ‘rmi-iiop’, чтобы заблокировать все RMI и LDAP в или из ненадежных сетей и неожиданных источников. На брандмауэре необходимо включить расшифровку SSL, чтобы блокировать известные атаки по HTTPS. Клиенты использующие log4j в своих средах должны обновить или применить обходные пути, предложенные соответствующими поставщиками, а не полагаться только на сигнатуры предотвращения угроз. Узнайте больше о том, как NGFW с облачными службами безопасности может помочь защитить от этих уязвимостей.
– Клиенты Cortex XDR, использующие агент Cortex XDR 7.0 и выше и пакет обновлений 290-78377 в Linux, защищены от полной цепочки эксплуатации с помощью модуля защиты Java Deserialization Exploit. Другие клиенты Cortex XDR защищены от различных наблюдаемых полезных нагрузок, связанных с CVE-2021-44228, с помощью защиты от поведенческих угроз (Behavioral Threat Protection (BTP)). Кроме того, клиенты Cortex XDR Pro, использующие аналитику, обнаружат действия, связанные с этой уязвимостью после эксплуатации.
– Клиенты Prisma Cloud с включенным модулем безопасности веб-приложений (Web Application) и модулем API Security, работающим под управлением Enterprise Edition или Compute Edition с последней версией консоли (21.08.525, обновление 2 и выше), могут использовать виртуальный патч для CVE для активного выявления и защиты от эксплуатации. Пользователи, не использующие последнюю версию Prisma Cloud, могут вручную создать и включить настраиваемое правило в режиме предотвращения.
Определение масштаба инцидента – какие системы необходимо исправить
Каждый раз, когда обнаруживается новая уязвимость в системе безопасности, между злоумышленниками и защитниками начинается гонка за выявление уязвимых систем. Защитникам необходимо ответить на следующий вопрос: каков полный перечень моих затронутых активов? Вот как Palo Alto Networks может помочь в обеспечении такой видимости:
–Prisma Cloud: агенты Prisma Cloud Defender могут определять, поддерживает ли какой-либо проект непрерывной интеграции (CI), образ контейнера или операционная система хоста уязвимый пакет Log4j или файл JAR с версией, равной или старше 2.14.1.
– Cortex XSOAR: в Cortex XSOAR есть инструкция, которая автоматизирует большую часть рабочих процессов. Загрузите пакет CVE-2021-44228 – Log4j RCE, чтобы автоматически обнаруживать и предотвращать использование уязвимостей в продуктах NGFW, Cortex XDR и SIEM. Узнайте больше на XSOAR marketplace. ЕСЛИ У ВАС НЕТ CORTEX XSOAR, ВЫ МОЖЕТЕ ПОЛУЧИТЬ НАШУ БЕСПЛАТНУЮ ВЕРСИЮXSOAR FREE COMMUNITY EDITION.
– Cortex Xpanse: наш продукт дает клиентам возможность проверить полную инвентаризацию активов, чтобы легко консолидировать данные об уязвимостях и сообщить о необходимости исправления.
Реагирование на инцидент
Если вы считаете, что произошел инцидент, связанный с уязвимостью Log4j, или вам просто нужна дополнительная мощность для более быстрого реагирования и исправления, вам поможет блог Unit 42. Если вы обеспокоены тем, что это могло повлиять на вас, вы можете связаться с Unit 42 для оценки компрометации и служб реагирования на инциденты. Подробные сведения об уязвимости Log4j смотрите в сводке Unit 42’s summary.
Уроки Log4j
Даже если вы не являетесь пользователем Apache Log4j, все равно вероятно, что один из ваших партнеров, клиентов или поставщиков использует программное обеспечение, которое включает уязвимый компонент. Уязвимость на этой неделе демонстрирует хрупкость нашей большой взаимозависимой технической экосистемы. Хорошо известной концепцией в цепочке поставок является эффект кнута, когда непредвиденные колебания предложения могут стоить отдельной компании больше, чем фактические колебания рыночного спроса. В сфере кибер безопасности мы испытываем нашу собственную версию эффекта кнута, только каждый подвержен влиянию инфраструктуры, которая превращает отдельную уязвимость в глобальный инцидент.
Чтобы быть в курсе последних результатов анализа и устранения уязвимостей Log4j, а также последних обновлений уязвимостей, продолжайте проверять блог Unit 42 blog или зарегистрируйтесь для участия в наших брифингах по анализу угроз, Unit 42 Briefing: Apache Log4j Threat Update.