CVE-2021-44228 – Vulnerabilidade de dia zero no Apache Log4j que permite a RCE (Remote Code Execution)
Uma vulnerabilidade crítica não autenticada de RCE (Remote Code Execution) (CVE-2021-44228) foi relatada no Log4j, uma biblioteca de registro de código aberto. Nas últimas 24 horas, a Akamai tem trabalhado diretamente com os clientes para implantar regras de WAF (Web Application Firewall) e mitigar a exposição. O Log4j está incorporado a muitas estruturas populares, fazendo com que o impacto seja generalizado. A vulnerabilidade está sendo explorada ativamente e, quando ocorre abuso, o agente de ameaça consegue executar códigos arbitrários nos sistemas que executam apps que contêm a biblioteca.
A vulnerabilidade afeta várias versões do Log4j e as aplicações que dependem dele (incluindo Apache Struts2, Apache Solr, Apache Druid, Apache Flink e muitas outras). A recomendação é que os administradores e desenvolvedores de aplicações verifiquem quais aplicações usam o pacote do Log4j. Se a versão do pacote estiver na faixa vulnerável (Log4j versões 2.0 a 2.14.1), será necessário atualizar imediatamente para a versão 2.16.0 ou posterior o mais rápido possível. A versão mais recente já está disponível na página de download do Log4j.
A Akamai agora implantou uma atualização em nossa regra Apache existente para incluir a mitigação para este CVE de dia zero. Isso inclui a atualização da regra 3000014 do Kona Rule Set ou do Adaptive Security Engine da Akamai (para os clientes que usam o Automated Attack Group, atualizamos o grupo de injeção de comando). Esses são os mecanismos usados nos produtos Kona Site Defender, Web Application Protector e App & API Protector da Akamai. Todos os clientes que, atualmente, têm essas regras (ou os grupos de ataque) ativadas no modo DENY receberão proteção automática em linha para as seguintes versões e os seguintes mecanismos de proteção:
Kona Rule Set – qualquer versão a partir de 29 de outubro de 2019
Automated Attack Group – qualquer versão
Adaptive Security Engine – qualquer versão
Os servidores que hospedam aplicativos voltados para a Internet podem já estar comprometidos. Em muitos sistemas, o seguinte comando pode exibir tentativas de exploração para identificar Indicadores de comprometimento:
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns)://' /var/log
Recomendamos que todos os usuários do Log4j versões de 2.0 a 2.14.1 façam a atualização o mais rápido possível. No entanto, quando isso não for possível, as máquinas potencialmente vulneráveis deverão limitar o acesso de saída ao máximo. Podem-se usar vários protocolos de saída para explorar sistemas vulneráveis, portanto, bloquear hosts ou portas de saída específicos pode não ser suficiente.
Os clientes da Akamai com o Guardicore Centra, que agora faz parte do pacote de segurança da Akamai, podem aproveitar a visibilidade no nível de processos do Centra para identificar todas as aplicações baseadas em Java em sua rede que estão potencialmente em risco. Os clientes poderão mapear sua exposição, avaliar seu nível de risco (por exemplo, serviços voltados para a Internet, serviços de infraestrutura expostos a todo o data center, aplicações locais que atendem a usuários e máquinas limitados) e aplicar regras de segmentação de resposta rápida para a redução de riscos até que seja possível implantar um patch.
