Detecção de execução remota de código Log4j
Uma vulnerabilidade grave ( CVE-2021-44228 ) no popular open source Apache Log4j a biblioteca de registo representa uma ameaça para milhares de aplicações e serviços de terceiros que utilizam esta biblioteca, permitindo que os atacantes executem código arbitrário a partir de uma fonte externa.
É um analista de segurança que precisa de responder a isto. Para além de aplicar uma remendo de emergência para a vulnerabilidade ou aplicação do apropriado mitigações se a actualização não for possível, também terá de procurar a presença do Log4j a executar código remoto nos seus sistemas.
Dados requeridos
Como utilizar o software Splunk para este caso de utilização
- Any Powershell download file
- CMD carry out string command parameter
- Curl download and bash execution
- Detect outbound LDAP traffic
- Java class file download by Java user agent
- Linux Java spawning shell
- Log4Shell CVE-2021-44228 exploitation
- Log4Shell JNDI payload injection attempt
- Log4Shell JNDI payload injection with outbound connection
- Outbound network connection from java using default ports
- PowerShell connect to internet with hidden window
- Wget download and bash execution
- Windows Powershell connect to internet with hidden window
- Windows Powershell download file
Próximos passos
Se determinar que tem exposição ao Log4j no seu ambiente ou projetos do Github, reveja as orientações da The Apache Software Foundation sobre remendar para a vulnerabilidade. Deve também actualizar para o Log4j 2.15.0 o mais rapidamente possível ou aplicar o mitigações se a actualização não for possível. Se a sua pesquisa detectar que ocorreu uma exploração ativa do Log4j, terá de seguir os processos da sua organização para avaliar a escala e mitigar o ataque.
Além disso, estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização: