Q: ¿Qué está pasando?

El pasado diciembre 9, se informó de una vulnerabilidad de ejecución remota de código (RCE) en el paquete de registro de Apache Log4j 2 versiones 2.14.1 e inferior (CVE-2021-44228).

NOTA: Se ha publicado una nota donde indica que la versión Log4j 2.15 también es vulnerable.

Apache Log4j es la biblioteca de registro de Java más popular con más de 400.000 descargas de su proyecto GitHub. Es utilizado por una gran cantidad de empresas en todo el mundo, lo que permite iniciar sesión en un amplio conjunto de aplicaciones populares.

Aprovechar esta vulnerabilidad es simple y permite a los actores de amenazas controlar los servidores web basados ​​en Java y lanzar ataques de ejecución remota de código.

Todos los fabricantes a nivel global se encuentran activamente validando y parchando sus sistemas.

Q: ¿Cuál es el estado de los fabricantes que maneja Soluciones Seguras?

Hemos mantenido un monitoreo en las soluciones de cada uno de los fabricantes que representamos y mantenemos un listado del estado actual de sus soluciones. Anexado a continuación:

Fabricante

Estado

Detalle y Referencia

Siguientes pasos

Check Point

No afectado

La arquitectura Infinity de Check Point no es afectada por Log4j.

Para mitigar esta vulnerabilidad en otros sistemas con el módulo de IPS, activar protección (Log4j). Requiere Inspección SSL

Imperva

No afectado

Imperva Cloud Web Application Firewall (WAF), Imperva WAF Gateway y Imperva RASP no son afectados por el CVE-2021-44228

Para cubrir de esta vulnerabilidad a los servicios y aplicaciones protegidos por los WAF, seguir pasos del KnowledgeBase del Fabricante o contactar Soporte.

Radware

Afectado

Apsolute Vision versión 4.83 o inferior.

Actualizar a 4.84 o superior, o seguir Knowledge Base del Fabricante

Barracuda

No afectado

Barracuda Web Application Firewall hardware and virtual appliances; Barracuda CloudGen WAF on AWS, Azure, and GCP; Barracuda WAF-as-a-Service; and Barracuda LoadBalancer ADC no usan Log4j, por tanto no son afectados por esta vulnerabilidad.

Para cubrir de esta vulnerabilidad a los servicios y aplicaciones protegidos por los WAF, actualizar las firmas.

Infoblox

No afectado

Luego de una revisión profunda, el fabricante encontró que esta vulnerabilidad no afecta las versiones recientes revisadas: (NIOS 8.4, 8.5 and 8.6, NetMRI, BloxOneDDI, BloxOne Threat Defense or any of our other SaaS offerings)

No requiere acción.

Forescout

Afectado

Forescout identificó componentes afectados y está en proceso de distribuir actualizaciones a sus productos.

Validar con soporte para el proceso de validación y actualización según KB del fabricante.

Progress WUG

No Afectado

WhatsUp Gold no utiliza Log4j como parte de su código.

No requiere acción.

Afectado

Log Management utiliza Log4j a través de Elasticsearch, pero luego de una revisión se validó que no es afectado por la vulnerabilidad.

No requiere acción.

Cyberark

No Afectado

Servicios SaaS: fueron afectados, pero ya han sido parchados.

No requiere acción.

Afectado

Servicio en premisas (Remote Access Alero Connector) requiere parchado.

Más información e instrucciones para el conector de Alero en este KB, o contacte Soporte.

LogRhythm

No Afectado

Servicios SaaS: fueron afectados pero mitigados.

No requiere acción.

Afectado

LogRhythm SIEM Data Indexer requiere mitigación.

Revisar KB. o contacte Soporte.

Thales

Afectado

Algunos de sus productos han sido afectados, la mayoría han sido parchados.

Para ver detalle consultar el KB con actualizaciones continuas. O contacte Soporte

Trendmicro

Afectado

Algunos servicios Cloud Saas fueron afectados, pero ya han sido mitigados.

No requiere acción.

Rapid7

Afectado

Servicios SaaS fueron afectados, pero ya han sido mitigados.

No requiere acción.

Darktrace

Afectado

Vulnerable, requiere parche. Aunque es difícil de explotar porque requiere primero autenticación vía web o API.

Instalar: Darktrace Bundle 51046. O contacte Soporte

Varonis

Afectado

Data Security Platform es afectado en versiones 7.x, 8.5, 8.6.

Requiere hotfixes. Revisar KB. O contacte Soporte

RSA SecurID

Afectado

2 componentes en versiones específicas han sido afectados. Revisar documentación.

Documentación. O contacte Soporte

Q: ¿Qué soluciones nos ayudan a mitigar esta vulnerabilidad en nuestros servicios o aplicaciones?

Las siguientes soluciones ayudan a proteger sus servidores y servicios contra esta vulnerabilidad:

  1. Check Point IPS: Check Point lanzó una protección IPS de ejecución remota de código Apache Log4j (CVE-2021-44228) con esta cobertura de prevención de amenazas contra la vulnerabilidad Apache Log4j. consulte sk176884 o contacte Soporte.
  2. Imperva WAF: Imperva ha desplegado docenas de actualizaciones a las reglas de seguridad desde que el CVE fue descubierto. Actualice el ADC de su solución para asegurar que posee la última versión de las actualizaciones. Referencia.
  3. Radware WAF: Las soluciones de seguridad de aplicaciones web de Radware, AppWall y Cloud WAF Services, detectaron y bloquearon los ataques de explotación de Log4Shell a través de parámetros de aplicaciones web y campos de encabezado HTTP, desde el primer día, como falsificaciones de solicitudes del lado del servidor. Referencia.
  4. Barracuda WAF Premisas y Nube: Desplegamos nuevas firmas para detectar los intentos de explotación de log4j y bloquearlos. Estas firmas se han actualizado para manejar las últimas evasiones observadas en el campo a partir del 13 de diciembre de 2021. Estas firmas y configuraciones bloquearán las solicitudes GET y POST que estén intentando este exploit. Referencia.
  5. TrendMicro Deep Security: A través de las reglas de IPS: Referencia.
    1. Rule 1011242 - Log4j Remote Code Execution Vulnerability (CVE-2021-44228)
    2. Rule 1005177 - Restrict Java Bytecode File (Jar/Class) Download
    3. Rule 1008610 - Block Object-Graph Navigation Language (OGNL) Expressions Initiation In Apache Struts HTTP Request
    4. LI Rule 1011241 - Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228)