Q: ¿Qué está pasando?
El pasado diciembre 9, se informó de una vulnerabilidad de ejecución remota de código (RCE) en el paquete de registro de Apache Log4j 2 versiones 2.14.1 e inferior (CVE-2021-44228).
NOTA: Se ha publicado una nota donde indica que la versión Log4j 2.15 también es vulnerable.
Apache Log4j es la biblioteca de registro de Java más popular con más de 400.000 descargas de su proyecto GitHub. Es utilizado por una gran cantidad de empresas en todo el mundo, lo que permite iniciar sesión en un amplio conjunto de aplicaciones populares.
Aprovechar esta vulnerabilidad es simple y permite a los actores de amenazas controlar los servidores web basados en Java y lanzar ataques de ejecución remota de código.
Todos los fabricantes a nivel global se encuentran activamente validando y parchando sus sistemas.
Q: ¿Cuál es el estado de los fabricantes que maneja Soluciones Seguras?
Hemos mantenido un monitoreo en las soluciones de cada uno de los fabricantes que representamos y mantenemos un listado del estado actual de sus soluciones. Anexado a continuación:
Fabricante |
Estado |
Detalle y Referencia |
Siguientes pasos |
Check Point |
No afectado |
La arquitectura Infinity de Check Point no es afectada por Log4j. |
Para mitigar esta vulnerabilidad en otros sistemas con el módulo de IPS, activar protección (Log4j). Requiere Inspección SSL |
Imperva |
No afectado |
Imperva Cloud Web Application Firewall (WAF), Imperva WAF Gateway y Imperva RASP no son afectados por el CVE-2021-44228 |
Para cubrir de esta vulnerabilidad a los servicios y aplicaciones protegidos por los WAF, seguir pasos del KnowledgeBase del Fabricante o contactar Soporte. |
Radware |
Afectado |
Apsolute Vision versión 4.83 o inferior. |
Actualizar a 4.84 o superior, o seguir Knowledge Base del Fabricante |
Barracuda |
No afectado |
Barracuda Web Application Firewall hardware and virtual appliances; Barracuda CloudGen WAF on AWS, Azure, and GCP; Barracuda WAF-as-a-Service; and Barracuda LoadBalancer ADC no usan Log4j, por tanto no son afectados por esta vulnerabilidad. |
Para cubrir de esta vulnerabilidad a los servicios y aplicaciones protegidos por los WAF, actualizar las firmas. |
Infoblox |
No afectado |
Luego de una revisión profunda, el fabricante encontró que esta vulnerabilidad no afecta las versiones recientes revisadas: (NIOS 8.4, 8.5 and 8.6, NetMRI, BloxOneDDI, BloxOne Threat Defense or any of our other SaaS offerings) |
No requiere acción. |
Forescout |
Afectado |
Forescout identificó componentes afectados y está en proceso de distribuir actualizaciones a sus productos. |
Validar con soporte para el proceso de validación y actualización según KB del fabricante. |
Progress WUG |
No Afectado |
WhatsUp Gold no utiliza Log4j como parte de su código. |
No requiere acción. |
Afectado |
Log Management utiliza Log4j a través de Elasticsearch, pero luego de una revisión se validó que no es afectado por la vulnerabilidad. |
No requiere acción. |
|
Cyberark |
No Afectado |
Servicios SaaS: fueron afectados, pero ya han sido parchados. |
No requiere acción. |
Afectado |
Servicio en premisas (Remote Access Alero Connector) requiere parchado. |
Más información e instrucciones para el conector de Alero en este KB, o contacte Soporte. |
|
LogRhythm |
No Afectado |
Servicios SaaS: fueron afectados pero mitigados. |
No requiere acción. |
Afectado |
LogRhythm SIEM Data Indexer requiere mitigación. |
Revisar KB. o contacte Soporte. |
|
Thales |
Afectado |
Algunos de sus productos han sido afectados, la mayoría han sido parchados. |
Para ver detalle consultar el KB con actualizaciones continuas. O contacte Soporte |
Trendmicro |
Afectado |
Algunos servicios Cloud Saas fueron afectados, pero ya han sido mitigados. |
No requiere acción. |
Rapid7 |
Afectado |
Servicios SaaS fueron afectados, pero ya han sido mitigados. |
No requiere acción. |
Darktrace |
Afectado |
Vulnerable, requiere parche. Aunque es difícil de explotar porque requiere primero autenticación vía web o API. |
Instalar: Darktrace Bundle 51046. O contacte Soporte |
Varonis |
Afectado |
Data Security Platform es afectado en versiones 7.x, 8.5, 8.6. |
Requiere hotfixes. Revisar KB. O contacte Soporte |
RSA SecurID |
Afectado |
2 componentes en versiones específicas han sido afectados. Revisar documentación. |
Documentación. O contacte Soporte |
Q: ¿Qué soluciones nos ayudan a mitigar esta vulnerabilidad en nuestros servicios o aplicaciones?
Las siguientes soluciones ayudan a proteger sus servidores y servicios contra esta vulnerabilidad:
- Check Point IPS: Check Point lanzó una protección IPS de ejecución remota de código Apache Log4j (CVE-2021-44228) con esta cobertura de prevención de amenazas contra la vulnerabilidad Apache Log4j. consulte sk176884 o contacte Soporte.
- Imperva WAF: Imperva ha desplegado docenas de actualizaciones a las reglas de seguridad desde que el CVE fue descubierto. Actualice el ADC de su solución para asegurar que posee la última versión de las actualizaciones. Referencia.
- Radware WAF: Las soluciones de seguridad de aplicaciones web de Radware, AppWall y Cloud WAF Services, detectaron y bloquearon los ataques de explotación de Log4Shell a través de parámetros de aplicaciones web y campos de encabezado HTTP, desde el primer día, como falsificaciones de solicitudes del lado del servidor. Referencia.
- Barracuda WAF Premisas y Nube: Desplegamos nuevas firmas para detectar los intentos de explotación de log4j y bloquearlos. Estas firmas se han actualizado para manejar las últimas evasiones observadas en el campo a partir del 13 de diciembre de 2021. Estas firmas y configuraciones bloquearán las solicitudes GET y POST que estén intentando este exploit. Referencia.
- TrendMicro Deep Security: A través de las reglas de IPS: Referencia.
- Rule 1011242 - Log4j Remote Code Execution Vulnerability (CVE-2021-44228)
- Rule 1005177 - Restrict Java Bytecode File (Jar/Class) Download
- Rule 1008610 - Block Object-Graph Navigation Language (OGNL) Expressions Initiation In Apache Struts HTTP Request
- LI Rule 1011241 - Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228)