Verificação ativa: Log4j vulnerável a RCE

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Os verificadores de vulnerabilidade de Log4j suportados injetam pesquisas JNDI ofuscadas em parâmetros HTTP, URLs e campos de texto com callbacks para domínios controlados pelos verificadores. Essa descoberta é gerada quando são encontradas consultas DNS nos domínios não ofuscados. Essas consultas só ocorrerão se uma pesquisa JNDI for bem-sucedida, indicando uma vulnerabilidade Log4j ativa.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Active Scan: Log4j Vulnerable to RCE, conforme direcionado em Como verificar detalhes da descoberta. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado
   • Recurso afetado, especialmente o seguinte campo:
     • Nome completo do recurso: o nome completo do recurso da instância do Compute Engine que está vulnerável ao RCE do Log4j.
   • Links relacionados, principalmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

3. Na visualização detalhada da descoberta, clique na guia JSON.

4. No JSON, observe os seguintes campos.

   • properties
     • scannerDomain: o domínio usado pelo scanner como parte da pesquisa JNDI. Isso informa qual scanner identificou a vulnerabilidade.
     • sourceIp: o endereço IP usado para fazer a consulta DNS
     • vpcName: o nome da rede na instância em que a consulta DNS foi feita.

Etapa 2: verificar os registros

1. No console do Google Cloud , acesse o Explorador de registros clicando no link no campo URI do Cloud Logging da etapa 1.

2. Na página carregada, verifique os campos httpRequest para tokens de string, como ${jndi:ldap://, que podem indicar possíveis tentativas de exploração.

   Consulte CVE-2021-44228: como detectar a exploração do Log4Shell na documentação do Logging para ver strings de exemplo e pesquisar um exemplo de consulta.

Etapa 3: pesquisar métodos de ataque e resposta

1. Analise a entrada do framework da MITRE ATT&CK para esse tipo de descoberta: Exploração de serviços remotos.
2. Verifique as descobertas relacionadas clicando no link em Descobertas relacionadas na linha Descobertas relacionadas na guia Resumo dos detalhes da descoberta. As descobertas relacionadas são o mesmo tipo de descoberta e a mesma instância e rede.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 4: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Faça upgrade para a versão mais recente do Log4j.
• Siga as recomendações doGoogle Cloudpara investigar e responder à vulnerabilidade "Apache Log4j".
• Implemente as técnicas recomendadas de mitigação nas vulnerabilidades de segurança do Apache Log4j.
• Se você usa o Google Cloud Armor, implante o cve-canary rule em uma política de segurança nova ou existente do Cloud Armor. Saiba mais em A regra do WAF do Google Cloud Armor para ajudar a mitigar a vulnerabilidade do Apache Log4j.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.