RECOMENDAÇÃO 13/2021

[TLP:WHITE]

1. A  vulnerabilidade de execução remota de código (RCE) identificada na biblioteca de registro Apache Java Log4j e publicada na CVE-2021-44228, abordada na Recomendação 12/2021 do CTIR Gov, tem sido explorada por atacantes em escala mundial.

2. O Log4j é amplamente utilizado em sistemas corporativos, aplicações Web e em serviços em nuvem. Dependendo da versão do Java e de como a biblioteca é utilizada, a exploração com execução remota de código pode resultar em controle total do sistema atacado.

3. A partir de uma exploração bem sucedida podem ser executadas outras ações, como roubo de credenciais, movimentação lateral e exfiltração de dados. É possível, inclusive, que haja disseminação de Ransomware.

4. Ataques recentes têm utilizado técnicas de ofuscação nas requisições como tentativa de evasão de sistemas de detecção de ameaças que utilizam como base padrões de texto ou correspondências de strings.

5. Com base neste cenário, o CTIR Gov reforça a Recomendação 12/2021 e orienta sobre as seguintes ações adicionais:

- Identificar aplicações críticas com dados sensíveis que utilizam a biblioteca Log4j e isolar o acesso externo ao sistema até que a vulnerabilidade seja sanada. Uma lista de sistemas vulneráveis pode ser encontrada em:

• https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages

- Aplicar imediatamente o patch de correção para versões do Apache Log4j entre 2.0-beta9 e 2.14.1, que devem ser atualizadas para a versão 2.16.0 disponível em:

• https://logging.apache.org/log4j/2.x/download.html

- Reduzir a superfície de ataque para casos de sistemas legados ou em ambientes em que não seja possível atualizar o Log4j para a versão 2.16.0. As versões de 2.10 a 2.14.1 podem ser configuradas com o parâmetro "log4j2.formatMsgNoLookups" com valor "true", que mitiga o risco de exploração bem sucedida da vulnerabilidade. O parâmetro "Dlog4j2.formatMsgNoLookups" também deve ser configurado como "true" nos scripts de inicialização da máquina virtual Java.

- Monitorar continuamente os logs de aplicações em busca de indícios de abusos, tais como execução remota de PowerShell, downloads ou processos ligados à mineração de criptomoedas e tráfego de/para servidores de comando e controle (C&C Server). Atentar para técnicas de evasão de detecção por ofuscação das consultas. Exemplos de buscas por tentativas de exploração podem ser obtidos em:

• https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

- Analisar, de acordo com o ambiente, a viabilidade de aplicação de regras para Snort, Suricata e Yara, disponíveis em:

• https://rules.emergingthreatspro.com/open/
• https://github.com/Neo23x0/signature-base/blob/master/yara/expl_log4j_cve_2021_44228.yar

- Acompanhar as diretrizes da Cybersecurity and Infrastructure Security Agency (CISA) sobre a vulnerabilidade, atualizadas constantemente, disponíveis em:

• https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

- Acompanhar os Alertas e Recomendações emitidos pelo CTIR Gov, disponíveis em:

• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes

6. Informações adicionais podem ser obtidas em:

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
• https://nvd.nist.gov/vuln/detail/CVE-2021-44228
• https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
• https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
• https://lists.apache.org/thread/83y7dx5xvn3h5290q1twn16tltolv88f

Equipe CTIR Gov.

[TLP:WHITE]