Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

גישה ראשונית: ניסיון פריצה באמצעות Log4j

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

הממצא הזה נוצר כשמזוהים חיפושים של Java Naming and Directory Interface‏ (JNDI) בתוך כותרות או פרמטרים של כתובות URL. חיפושים כאלה עשויים להצביע על ניסיונות ניצול של Log4Shell.

Event Threat Detection הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

שלב 1: בדיקת פרטי הממצא

פותחים ממצא Initial Access: Log4j Compromise Attempt לפי ההוראות במאמר בדיקת פרטי הממצא. חלונית הפרטים של הממצא נפתחת בכרטיסייה סיכום.
בכרטיסייה סיכום, בודקים את המידע בקטעים הבאים:
- מה זוהה
- מקור המידע שהושפע
- קישורים רלוונטיים, במיוחד השדות הבאים:
  - ‫Cloud Logging URI: קישור לרשומות ב-Logging.
  - שיטת MITRE ATT&CK: קישור למסמך של MITRE ATT&CK.
  - ממצאים קשורים: קישורים לממצאים קשורים.
- בתצוגת הפרטים של הממצא, לוחצים על הכרטיסייה JSON.
- שימו לב לשדות הבאים ב-JSON.
- properties
  - ‫loadBalancerName: השם של מאזן העומסים שקיבל את חיפוש ה-JNDI
  - ‫requestUrl: כתובת ה-URL של הבקשה מסוג HTTP. אם קיים, מכיל חיפוש JNDI.
  - ‫requestUserAgent: סוכן המשתמש ששלח את בקשת ה-HTTP. אם יש כזה, הוא מכיל חיפוש JNDI.
  - ‫refererUrl: כתובת ה-URL של הדף ששלח את בקשת ה-HTTP. אם הוא קיים, הוא מכיל חיפוש JNDI.

שלב 2: בדיקת היומנים

במסוף Google Cloud , עוברים אל Logs Explorer על ידי לחיצה על הקישור בשדה Cloud Logging URI משלב 1.
בדף שנטען, בודקים את השדות httpRequest אם יש טוקנים של מחרוזות כמו ${jndi:ldap:// שיכולים להצביע על ניסיונות אפשריים לניצול לרעה.

במסמכי התיעוד בנושא Logging מופיעות דוגמאות למחרוזות לחיפוש ודוגמה לשאילתה.

שלב 3: מחקר של שיטות התקפה ותגובה

כדאי לעיין בערך של מסגרת MITRE ATT&CK לגבי סוג הממצא הזה: ניצול לרעה של אפליקציה שפונה לציבור.
כדי לעיין בממצאים קשורים, לוחצים על הקישור ממצאים קשורים בשורה ממצאים קשורים בכרטיסייה סיכום של פרטי הממצא. ממצאים קשורים הם ממצאים מאותו סוג, שמתייחסים לאותו מופע ולאותה רשת.
כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם מחקר של MITRE.

שלב 4: מיישמים את התגובה

תוכנית התגובה הבאה עשויה להתאים לממצא הזה, אבל היא עלולה גם להשפיע על הפעולות. חשוב לבדוק בקפידה את המידע שאספתם במהלך החקירה כדי להבין מהי הדרך הטובה ביותר לפתור את הבעיות.

שדרוג לגרסה האחרונה של Log4j.
פועלים לפי ההמלצות שלGoogle Cloudלחקירה ולתגובה לנקודת החולשה Apache Log4j.
מטמיעים את טכניקות המיטיגציה המומלצות במאמר בנושא נקודות חולשה באבטחה ב-Apache Log4j.
אם אתם משתמשים ב-Google Cloud Armor, אתם יכולים לפרוס את cve-canary rule במדיניות אבטחה חדשה או קיימת של Cloud Armor. מידע נוסף זמין במאמר בנושא כלל WAF של Google Cloud Armor שיכול לעזור בצמצום הסיכון לניצול נקודת החולשה ב-Apache Log4j.

המאמרים הבאים

איך עובדים עם ממצאי איומים ב-Security Command Center
אפשר לעיין באינדקס של ממצאי איומים.
איך בודקים ממצא דרך מסוף Google Cloud .
מידע על השירותים שמפיקים ממצאים לגבי איומים