Notícias
RECOMENDAÇÃO 14/2021
[TLP:WHITE]
1. Em virtude da gravidade do caso e da urgência para tratamento e mitigação das vulnerabilidades de execução remota de código (RCE) identificadas na biblioteca de registro Apache Java Log4j (CVE-2021-44228 e CVE-2021-45046), indicamos a leitura das seguintes Recomendações:
- https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2021/recomendacao-12-2021
- https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2021/recomendacao-13-2021
2. Em complemento, reforçamos a necessidade imediata da identificação de todos os sistemas que possuem a biblioteca Apache Java Log4j implementada, para que seja realizada sua atualização, com a urgência que o caso requer, para a versão mais atual disponível em:
3. Recomendamos, ainda, que sejam monitoradas tentativas de exploração da vulnerabilidade nos ativos de TI.
3.1. Exemplos de padrões de strings que devem ser monitorados nos logs:
${jndi:ldap:/}
${jndi:ldaps:/}
${jndi:rmi:/}
${jndi:dns:/}
${jndi:iiop:/}
3.2. Monitorar, ainda, tentativas de ofuscação das strings, como por exemplo:
(${${::-j}${::-n}${::-d}${::-I})
${${lower:j}${lower:n}${lower:d}i:${lower:rmi}
${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}
${${lower:jndi}:${lower:rmi}
4. Ressaltamos, finalmente, que malwares estão explorando a vulnerabilidade Log4Shell para disseminação de artefatos maliciosos, tais como:
- Troj/JavaDl-AAN, Troj/Java-AIN, Troj/BatDl-GR, Mal/JavaKC-B, XMRig Miner (PUA), Troj/Bckdr-RYB, Troj/PSDl-LR, Mal/ShellDl-A, Linux/DDoS-DT, Linux/Miner-ADG, Linux/DDoS-DS, Linux/Miner-ZS, Linux/Miner-WU, Linux/Rootkt-M, Muhstik botnet, XMRIG miner, Khonsari (Ransomware), Orcus (RAT - Remote Access Trojan).
5. Caso sejam identificadas tentativas de exploração, recomendamos que os logs sejam enviados ao CTIR Gov via notificação ao e-mail ctir@ctir.gov.br, para a tomada das providências cabíveis. O CTIR Gov trata as informações recebidas conforme o indicado no padrão TLP (https://www.gov.br/ctir/pt-br/assuntos/tlp). A chave pública PGP do CTIR Gov pode ser obtida em:
Equipe CTIR Gov
[TLP:WHITE]