Visão Geral

Este artigo discutirá informações sobre a vulnerabilidade de Execução Remota de Código (RCE) do Log4j e as etapas que a Cato tomou para garantir que nossos clientes permaneçam protegidos.

Este artigo refere-se ao CVE-2021-44228, que recebeu uma pontuação base CVSS de 10,0 (CRÍTICO)

Cato está avaliando atualmente o impacto que essa vulnerabilidade tem sobre nossa base de clientes, e este artigo será atualizado conforme a situação progride. 

Contexto e Impacto

Foi encontrada uma falha na biblioteca de logging Java Apache Log4j 2 nas versões de 2,0-beta9 a 2.14.1. Isso pode permitir que um invasor remoto execute código no servidor se o sistema registrar um valor de string controlado pelo invasor com a pesquisa do servidor JNDI LDAP do invasor.

Esse exploit permitiria que invasores executassem código malicioso nas aplicações Java e, como tal, representa um risco significativo devido à prevalência do Log4j no ambiente de software global. 

Ambiente

Esse problema parece afetar apenas as versões do log4j entre 2,0 e 2.14.1. Para explorar essa falha você precisa de:

• Um endpoint acessível remotamente com qualquer protocolo (HTTP, TCP, etc) que permita ao invasor enviar dados arbitrários,
• Uma declaração de logging no endpoint que registre os dados controlados pelo invasor.

Devido à existência do JMS Appender, que pode usar JNDI no log4j 1.x, é possível que a versão 1.x do log4j também seja afetada por essa vulnerabilidade. O impacto ainda está sendo investigado por pesquisadores de segurança. 

O que a Cato está fazendo?

Os Analistas de Segurança da Cato Networks estão trabalhando incansavelmente para identificar, precisar e mitigar qualquer vulnerabilidade ou exposição potencial que nossos clientes possam ter a essa ameaça. 

• 9 de dezembro de 2021: A comunidade de Segurança tornou-se ciente de tentativas ativas de exploração no software Apache Log4j.
• 10 de dezembro de 2021: Cato Networks identificou a assinatura de tráfego associada a esse exploit e começou a Monitorar ativamente nossa base de Cliente.
• 11 de dezembro de 2021: Implementamos uma regra de bloqueio Global em nosso IPS para Todos os Clientes Cato para mitigar essa vulnerabilidade.

A infraestrutura da Cato Cloud não é considerada vulnerável a esse exploit no momento. 

O que eu preciso fazer?

• Se você tiver o IPS Cato ativado, estaremos bloqueando ativamente a assinatura de tráfego dessa vulnerabilidade automaticamente. Não é necessário corrigir ou atualizar a plataforma Cato.
• O Cliente SDP Cato, Cato Sockets e Cato vSockets não usam Apache Log4j.
• É recomendado que qualquer cliente usando produtos Apache siga o advisory contínuo do fornecedor.

Eventos de IPS serão gerados dentro da Aplicação de Gerenciamento Cato indicando ações de bloqueio para este CVE. Por exemplo:

Essa situação está evoluindo atualmente dentro do panorama de TI, e Cato Networks está monitorando e investigando ativamente a situação para garantir que nossos clientes permaneçam protegidos.