Visión general

Este artículo discutirá información relacionada con la vulnerabilidad de Ejecución Remota de Código (RCE) de Log4j, y los pasos que Cato ha tomado para garantizar que nuestros clientes sigan protegidos.

Este artículo se refiere a CVE-2021-44228, que ha recibido una puntuación base CVSS de 10,0 (CRÍTICO)

Cato está evaluando actualmente el impacto que tiene esta vulnerabilidad en nuestra base de clientes, y este artículo se actualizará conforme avance la situación. 

Antecedentes e Impacto

Se encontró un error en la biblioteca de registro de Java, Apache Log4j 2, en versiones desde 2,0-beta9 hasta 2.14.1. Esto podría permitir a un atacante remoto ejecutar código en el servidor si el sistema registra un valor de cadena controlado por el atacante con la búsqueda del servidor LDAP JNDI del atacante.

Este exploit permitiría a los atacantes ejecutar código malicioso en aplicaciones Java, y como tal, representa un riesgo significativo debido a la prevalencia de Log4j en el entorno global de software. 

Entorno

Este problema parece afectar solo a las versiones de Log4j entre 2,0 y 2.14.1. Para explotar este error necesitas:

• Un punto terminal accesible remotamente con cualquier protocolo (HTTP, TCP, etc) que permita a un atacante enviar datos arbitrarios,
• Una declaración de registro en el punto terminal que registre los datos controlados por el atacante.

Debido a la existencia de JMS Appender, que puede usar JNDI en el log4j 1.x, es posible que la versión 1.x de log4j también esté afectada por esta vulnerabilidad. El impacto todavía está siendo investigado por investigadores de seguridad. 

¿Qué está haciendo Cato?

Los Analistas de Seguridad en Cato Networks están trabajando incansablemente para identificar, precisar y mitigar cualquier vulnerabilidad o exposición potencial que nuestros clientes puedan tener ante esta amenaza. 

• 9 de diciembre de 2021: La comunidad de seguridad se enteró de intentos de explotación activos en el software Apache Log4j.
• 10 de diciembre de 2021: Cato Networks identificó la firma del tráfico asociada con este exploit y comenzó a monitorear activamente nuestra base de clientes.
• 11 de diciembre de 2021: Hemos implementado una regla de bloqueo global dentro de nuestro IPS para todos los clientes de Cato para mitigar esta vulnerabilidad.

No se cree que la infraestructura de Cato Cloud sea vulnerable a este exploit en este momento. 

¿Qué necesito hacer?

• Si tienes el IPS de Cato habilitado, estaremos bloqueando activamente la firma del tráfico de esta vulnerabilidad automáticamente. No se requiere parcheo o actualizaciones a la plataforma de Cato.
• El Cliente SDP de Cato, Cato Sockets, Cato vSockets no usan Apache Log4j.
• Se recomienda que cualquier cliente que use productos de Apache siga el asesoramiento continuo del proveedor.

Eventos IPS se generarán dentro de la Aplicación de Gestión de Cato indicando acciones de bloqueo para este CVE. Por ejemplo:

Esta situación está evolucionando actualmente dentro del panorama de TI, y Cato Networks está monitoreando e investigando activamente la situación para garantizar que nuestros clientes sigan protegidos.