Scansione attiva: Log4j vulnerabile all'attacco RCE

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Gli scanner di vulnerabilità Log4j supportati inseriscono ricerche JNDI offuscate in parametri HTTP, URL e campi di testo con callback ai domini controllati dagli scanner. Questo risultato viene generato quando vengono trovate query DNS per i domini non offuscati. Queste query si verificano solo se una ricerca JNDI è andata a buon fine, il che indica una vulnerabilità Log4j attiva.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri un risultato Active Scan: Log4j Vulnerable to RCE come indicato in Revisione dei dettagli dei risultati. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

   • Che cosa è stato rilevato
   • Risorsa interessata, in particolare il seguente campo:
     • Nome completo della risorsa: il nome completo della risorsa dell'istanza Compute Engine vulnerabile all'esecuzione di codice remoto Log4j.
   • Link correlati, in particolare i seguenti campi:
     • URI Cloud Logging: link alle voci di log.
     • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
     • Risultati correlati: link a eventuali risultati correlati.

3. Nella visualizzazione dettagliata del risultato, fai clic sulla scheda JSON.

4. Nel JSON, prendi nota dei seguenti campi.

   • properties
     • scannerDomain: il dominio utilizzato dallo scanner nell'ambito della ricerca JNDI. Indica lo scanner che ha identificato la vulnerabilità.
     • sourceIp: l'indirizzo IP utilizzato per eseguire la query DNS
     • vpcName: il nome della rete sull'istanza in cui è stata eseguita la query DNS.

Passaggio 2: controlla i log

1. Nella console Google Cloud , vai a Esplora log facendo clic sul link nel campo URI Cloud Logging del passaggio 1.

2. Nella pagina che viene caricata, controlla i campi httpRequest per i token stringa come ${jndi:ldap:// che potrebbero indicare possibili tentativi di sfruttamento.

   Consulta CVE-2021-44228: rilevamento di exploit Log4Shell nella documentazione di Logging per le stringhe di esempio da cercare e per una query di esempio.

Passaggio 3: ricerca di metodi di attacco e risposta

1. Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Exploitation of Remote Services.
2. Esamina i risultati correlati facendo clic sul link nella sezione Risultati correlati nella riga Risultati correlati della scheda Riepilogo dei dettagli del risultato. I risultati correlati sono dello stesso tipo e della stessa istanza e rete.
3. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 4: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

• Esegui l'upgrade all'ultima versione di Log4j.
• Segui i consigli di Google Cloudper esaminare e risolvere la vulnerabilità "Apache Log4j".
• Implementa le tecniche di mitigazione consigliate in Vulnerabilità di sicurezza di Apache Log4j.
• Se utilizzi Google Cloud Armor, implementa cve-canary rule in un criterio di sicurezza di Cloud Armor nuovo o esistente. Per saperne di più, vedi Regola WAF di Google Cloud Armor per mitigare la vulnerabilità di Apache Log4j.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.