Análisis activo: Log4j es vulnerable a RCE

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos cuando identifican una posible amenaza en tus recursos alojados en la nube. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

Los escáneres de vulnerabilidades de Log4j compatibles insertan búsquedas de JNDI ofuscadas en parámetros de HTTP, URLs y campos de texto con devoluciones de llamada a dominios controlados por los analizadores. Este hallazgo se genera cuando se encuentran consultas de DNS para dominios sin ofuscar. Estas consultas solo ocurren si una búsqueda de JNDI tuvo éxito, lo que indica una vulnerabilidad Log4j activa.

Event Threat Detection es la fuente de este hallazgo.

Cómo se debe responder

Para responder a este hallazgo, sigue los pasos que se indican a continuación:

Paso 1: Revisa los detalles del hallazgo

  1. Abre un hallazgo Active Scan: Log4j Vulnerable to RCE como se indica en Revisa detalles de hallazgos. Se abrirá el panel de detalles del hallazgo en la pestaña Resumen.

  2. En la pestaña Resumen, revisa la información de las secciones siguientes:

    • Qué se detectó
    • Recurso afectado, en especial, el campo siguiente:
      • Nombre completo del recurso: Es el nombre completo del recurso de la instancia de Compute Engine que es vulnerable a la RCE de Log4j.
    • Vínculos relacionados, en especial, los campos siguientes:
      • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
      • Método MITRE ATT&CK: Es el vínculo a la documentación de MITRE ATT&CK.
      • Hallazgos relacionados: Son los vínculos a los hallazgos relacionados.

  3. En la vista de detalles del hallazgo, haz clic en la pestaña JSON.

  4. En el archivo JSON, observa los campos que se indican a continuación.

    • properties
      • scannerDomain: Es el dominio que usa el escáner como parte de la búsqueda de JNDI. Este indica qué escáner identificó a la vulnerabilidad.
      • sourceIp: Es la dirección IP que se usó para realizar la consulta de DNS.
      • vpcName: Es el nombre de la red de la instancia en la que se realizó la consulta de DNS.

Paso 2: Revisa los registros

  1. En la consola de Google Cloud , accede al Explorador de registros y haz clic en el vínculo del campo URI de Cloud Logging del paso 1.

  2. En la página que se carga, verifica los campos httpRequest para tokens de cadena, como ${jndi:ldap://, que puedan indicar posibles intentos de explotación.

    Consulta CVE-2021-44228: Detecta explotaciones de Log4Shell en la documentación de Logging para ver las cadenas de ejemplo que se deben buscar y una consulta de ejemplo.

Paso 3: Investiga los métodos de ataque y respuesta

  1. Revisa la entrada del framework MITRE ATT&CK para este tipo de hallazgo: Explotación de servicios remotos.
  2. Haz clic en el vínculo de Hallazgos relacionados en la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo para revisar los hallazgos relacionados. Los hallazgos relacionados son del mismo tipo y tienen la misma instancia y red.
  3. Para elaborar un plan de respuesta, combina los resultados del análisis con la investigación de MITRE.

Paso 4: Implementa la respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas durante la investigación para determinar la mejor manera de resolver los hallazgos.

¿Qué sigue?