Análisis activo: Log4j es vulnerable a la ejecución remota de código

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Los escáneres de vulnerabilidades de Log4j admitidos inyectan búsquedas JNDI ofuscadas en parámetros HTTP, URLs y campos de texto con retrollamadas a dominios controlados por los escáneres. Este resultado se genera cuando se encuentran consultas DNS de dominios sin ofuscar. Estas consultas solo se producen si una búsqueda de JNDI se ha realizado correctamente, lo que indica que hay una vulnerabilidad de Log4j activa.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

  1. Abre un resultado de Active Scan: Log4j Vulnerable to RCE, tal como se indica en Consultar los detalles de los resultados. Se abre el panel de detalles del hallazgo en la pestaña Resumen.

  2. En la pestaña Resumen, consulte la información de las siguientes secciones:

    • Qué se detectó
    • Recurso afectado, especialmente el siguiente campo:
      • Nombre completo del recurso: el nombre completo del recurso de la instancia de Compute Engine que es vulnerable a la ejecución remota de código de Log4j.
    • Enlaces relacionados, especialmente los siguientes campos:
      • URI de Cloud Logging: enlace a las entradas de registro.
      • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
      • Hallazgos relacionados: enlaces a los hallazgos relacionados.

  3. En la vista detallada de la detección, haga clic en la pestaña JSON.

  4. En el JSON, anota los siguientes campos.

    • properties
      • scannerDomain: el dominio que usa el escáner como parte de la búsqueda de JNDI. Indica qué analizador ha identificado la vulnerabilidad.
      • sourceIp: la dirección IP usada para hacer la consulta de DNS
      • vpcName: nombre de la red de la instancia en la que se hizo la consulta de DNS.

Paso 2: Consulta los registros

  1. En la Google Cloud consola, ve a Explorador de registros haciendo clic en el enlace del campo URI de Cloud Logging del paso 1.

  2. En la página que se carga, compruebe los campos httpRequest para ver si hay tokens de cadena como ${jndi:ldap:// que puedan indicar posibles intentos de explotación.

    Consulta CVE-2021-44228: detectar ataques de Log4Shell en la documentación de Logging para ver cadenas de ejemplo que puedes buscar y una consulta de ejemplo.

Paso 3: Investiga los métodos de ataque y respuesta

  1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de hallazgo: Aprovechamiento de servicios remotos.
  2. Para consultar los hallazgos relacionados, haga clic en el enlace de la sección Hallazgos relacionados de la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo. Los resultados relacionados son del mismo tipo y de la misma instancia y red.
  3. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 4: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

Siguientes pasos