Recomendações para Vulnerabilidade na biblioteca Log4j

Em virtude da gravidade do caso e da urgência para tratamento e mitigação das vulnerabilidades de execução remota de código (RCE) identificadas na biblioteca de registro Apache Java Log4j (CVE-2021-44228 e CVE-2021-45046), indicamos a leitura das seguintes recomendações:

• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2021/recomendacao-12-2021
• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2021/recomendacao-13-2021

Em complemento, reforçamos a necessidade imediata da identificação de todos os sistemas que possuem a biblioteca Apache Java Log4j implementada, para que seja realizada sua atualização, com a urgência que o caso requer, para a versão mais atual disponível em:

• https://logging.apache.org/log4j/2.x/security.html

Recomendamos, ainda, que sejam monitoradas tentativas de exploração da vulnerabilidade nos ativos de TI.

3.1.  Exemplos de padrões de strings que devem ser monitorados nos logs:

${jndi:ldap:/}
${jndi:ldaps:/}
${jndi:rmi:/}
${jndi:dns:/}
${jndi:iiop:/}

É possível monitorar, ainda, tentativas de ofuscação das strings, como por exemplo:

(${${::-j}${::-n}${::-d}${::-I})
${${lower:j}${lower:n}${lower:d}i:${lower:rmi}
${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}
${${lower:jndi}:${lower:rmi}

4. Ressaltamos, finalmente, que malwares estão explorando a vulnerabilidade Log4Shell para disseminação de artefatos maliciosos, tais como:

– Troj/JavaDl-AAN, Troj/Java-AIN, Troj/BatDl-GR, Mal/JavaKC-B, XMRig Miner (PUA), Troj/Bckdr-RYB, Troj/PSDl-LR, Mal/ShellDl-A, Linux/DDoS-DT, Linux/Miner-ADG, Linux/DDoS-DS, Linux/Miner-ZS, Linux/Miner-WU, Linux/Rootkt-M, Muhstik botnet, XMRIG miner, Khonsari (Ransomware), Orcus (RAT – Remote Access Trojan).

Caso sejam identificadas tentativas de exploração, recomendamos que os logs sejam enviados ao CTIR Gov via notificação ao e-mail ctir@ctir.gov.br, para a tomada das providências cabíveis.

O CTIR Gov trata as informações recebidas conforme o indicado no padrão TLP (https://www.gov.br/ctir/pt-br/assuntos/tlp). A chave pública PGP do CTIR Gov pode ser obtida em:

• https://www.gov.br/ctir/pt-br/media/ctir-site.asc

Fonte: CTIR Gov.

Este artigo foi lido 871 vezes!