Pemindaian Aktif: Log4j Rentan terhadap RCE

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Pemindai kerentanan Log4j yang didukung menyuntikkan pencarian JNDI yang di-obfuscate dalam parameter HTTP, URL, dan kolom teks dengan callback ke domain yang dikontrol oleh pemindai. Temuan ini dibuat saat kueri DNS untuk domain yang tidak di-obfuscate ditemukan. Kueri tersebut hanya terjadi jika pencarian JNDI berhasil, yang menunjukkan kerentanan Log4j yang aktif.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Active Scan: Log4j Vulnerable to RCE, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail temuan akan terbuka ke tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Yang terdeteksi
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource dari instance Compute Engine yang rentan terhadap RCE Log4j.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Di tampilan detail temuan, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut.

   • properties
     • scannerDomain: domain yang digunakan oleh pemindai sebagai bagian dari pencarian JNDI. Bagian ini memberi tahu Anda pemindai mana yang mengidentifikasi kerentanan.
     • sourceIp: alamat IP yang digunakan untuk membuat kueri DNS
     • vpcName: nama jaringan di instance tempat kueri DNS dibuat.

Langkah 2: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI dari langkah 1.

2. Di halaman yang dimuat, periksa kolom httpRequest untuk menemukan token string seperti ${jndi:ldap:// yang dapat mengindikasikan kemungkinan upaya eksploitasi.

   Lihat CVE-2021-44228: Mendeteksi eksploitasi Log4Shell dalam dokumentasi Logging untuk mengetahui contoh string yang akan ditelusuri dan contoh kueri.

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksploitasi Layanan Jarak Jauh.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Lakukan upgrade ke versi Log4j terbaru.
• Ikuti rekomendasi Google Clouduntuk menyelidiki dan merespons kerentanan "Apache Log4j".
• Terapkan teknik mitigasi yang direkomendasikan dalam Kerentanan Keamanan Apache Log4j.
• Jika Anda menggunakan Google Cloud Armor, deploy cve-canary rule ke kebijakan keamanan Cloud Armor baru atau yang sudah ada. Untuk mengetahui informasi selengkapnya, lihat Aturan WAF Google Cloud Armor untuk membantu mengurangi kerentanan Apache Log4j.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.