Análise ativa: Log4j vulnerável a RCE

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Os scanners de vulnerabilidades Log4j suportados injetam pesquisas JNDI ocultadas em parâmetros HTTP, URLs e campos de texto com callbacks para domínios controlados pelos scanners. Esta descoberta é gerada quando são encontradas consultas DNS para os domínios não ocultados. Essas consultas só ocorrem se uma pesquisa JNDI for bem-sucedida, o que indica uma vulnerabilidade ativa do Log4j.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra uma deteção Active Scan: Log4j Vulnerable to RCE, conforme indicado em Rever detalhes da deteção. O painel de detalhes da descoberta é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado
   • Recurso afetado, especialmente o seguinte campo:
     • Nome completo do recurso: o nome completo do recurso da instância do Compute Engine vulnerável à RCE do Log4j.
   • Links relacionados, especialmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.

3. Na vista de detalhes da descoberta, clique no separador JSON.

4. No JSON, tenha em atenção os seguintes campos.

   • properties
     • scannerDomain: o domínio usado pelo scanner como parte da pesquisa JNDI. Isto indica-lhe que análise identificou a vulnerabilidade.
     • sourceIp: o endereço IP usado para fazer a consulta DNS
     • vpcName: o nome da rede na instância onde a consulta DNS foi feita.

Passo 2: verifique os registos

1. Na Google Cloud consola, aceda ao Explorador de registos clicando no link no campo URI do Cloud Logging do passo 1.

2. Na página carregada, verifique os campos httpRequest para ver se existem tokens de strings como ${jndi:ldap:// que possam indicar possíveis tentativas de exploração.

   Consulte o artigo CVE-2021-44228: deteção de exploração Log4Shell na documentação do Logging para ver exemplos de strings a pesquisar e um exemplo de consulta.

Passo 3: pesquise métodos de ataque e resposta

1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Exploitation of Remote Services.
2. Reveja as conclusões relacionadas clicando no link em Conclusões relacionadas na linha Conclusões relacionadas no separador Resumo dos detalhes das conclusões. As conclusões relacionadas são do mesmo tipo de conclusão e da mesma instância e rede.
3. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 4: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

• Atualize para a versão mais recente do Log4j.
• Siga as recomendações da Google Cloudpara investigar e responder à vulnerabilidade "Apache Log4j".
• Implemente as técnicas de mitigação recomendadas em Vulnerabilidades de segurança do Apache Log4j.
• Se usar o Google Cloud Armor, implemente o cve-canary rule numa política de segurança do Cloud Armor nova ou existente. Para mais informações, consulte o artigo Regra do WAF do Google Cloud Armor para ajudar a mitigar a vulnerabilidade do Apache Log4j.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.