<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=441681&amp;fmt=gif">

12 desember 2021

Kritisk sårbarhet: CVE-2021-44228

16 min lesetid

12. desember 2021

Den kritiske Log4J sårbarheten CVE-2021-44228 er blitt kjent, og har allerede blitt mål for aktørene, så det haster med å gjøre tiltak

Artikkelen er oppdatert 27. desember 09:20.

Vi har her samlet relevant informasjon relatert til den nye alvorlige og omfattende sårbarheten hvor man ser utnyttelsesforsøk gjennom VDI og som er gitt CVSS score 10 av 10, noe som er ekstremt sjelden.

Vi vil komme med oppdateringer på siden ettersom vi får mer informasjon. Inntil da, er det bare å ta kontakt med oss om det er noe dere lurer på.

12. des: Se video, og hør Gøran Tømte fortelle mer om sårbarheten og hva man kan gjøre for å beskytte seg.

13. des: Video-oppdatering fra Gøran Tømte.

20. des: Video-oppdatering fra Gøran Tømte.

Oppdatering 27. desember

Gjelder for Intellisec kunder, og kunder som har kjøpt og drifter egen Cortex XDR installasjon

Log4J sårbarhetene er like relevante fortsatt. Det kommer derfor stadig nye anbefalinger. Palo Alto Networks har kommet med nye anbefalinger for Cortex XDR Prevent og Pro. Noen av disse krever handling fra deg som sluttkunde.


Hva må du som Intellisec kunde gjøre selv?

Cortex XDR Pro
Vi har klargjort alle med Cortex XDR Pro. Du som kunde er anbefalt å restarte alle servere, og helst klienter. Les teksten til Palo Alto Networks nedenfor for mer detaljer.

Cortex XDR Prevent
Her må du som kunde selv kjøre kommandoene på alle systemer, etterfulgt av en restart. Ta kontakt med oss ved behov for bistand.

«XDR Prevent customers - Execute the following batch script with administrative privileges on your machines: https://storage.cloud.google.com/panwxdr-staticfiles/apply_log4shell_workaround.bat
Restart Windows endpoints in your organization.»

Informasjon fra Palo Alto Networks
We would like to recommend that you update your Windows machine in one of the following ways to better protect your environment:

BEST PRACTICE: Palo Alto Networks strongly recommends that organizations upgrade to the latest version of Apache log4j 2 for all systems.
If you can’t upgrade to the latest version, we recommend following Apache‘s recommendation to disable message lookups. Please note that Apache discovered that these measures only limit exposure, while leaving some attack vectors open, as can be seen in Apache Log4j Security Vulnerabilities. We still see a value in disabling the message lookup to protect yourself from some of the attack vectors. Please note that Log4j 2.10 and above is required for this workaround to take effect.
To ensure you disable message lookup, follow the following steps:

Disable Log4j message lookups environment variable
XDR Pro customers - From the Action Center, select Actions > Run Endpoint Script and in the SCRIPT field select execute_command. Specify the Commands_lists(list) field as setx LOG4J_FORMAT_MSG_NO_LOOKUPS true /M. In the next screen, you will have an option to select the target machines.
XDR Prevent customers - Execute the following batch script with administrative privileges on your machines: https://storage.cloud.google.com/panwxdr-staticfiles/apply_log4shell_workaround.bat
Restart Windows endpoints in your organization.

Note: If you can’t restart the Windows endpoints, you must at least restart every service that uses Java. There can still be some services after a restart that may not receive the new configuration updates, so a restart to the Windows endpoint is highly recommended.

 

Oppdatering 21. desember


Intellisec

Managed Endpoint Protection

  • Alle endepunkter kjører versjon 7.0 eller nyere, i tråd med anbefalinger fra Palo Alto Networks
  • Alle endepunkter har siste versjon for beskyttelse mot Log4J sårbarhetene
  • Vi ser flere forsøk på misbruk blant våre kunder, men har ikke sett spor av progresjon i angrepene
  • Det er anbefalt å restarte Cortex XDR spesielt på alle Linux servere
  • Med Managed Endpoint Protection Pro har vi mulighet til å gå tilbake i tid for å se etter forsøk før signaturer ble kjent. Vi har ikke sett spor av suksessfulle forsøk


Managed Network Protection

  • Fra et brannmurståsted er det anbefalt å hviteliste utgående servertrafikk. Vi anbefaler at vi ser på dette sammen med dere. Vi følger med i loggene etter forsøk på etablering av en bakdør
  • Inngående SSL dekryptering mot servere er å anbefale for å best mulig kunne beskyttes med IPS signaturer
  • Utgående SSL dekryptering for servere er å anbefale, for full synlighet og dermed beskyttelse med Anti Spyware og Command & Control. Vi følger med på eventuelle forsøk i alarmene
  • Fra et nettverksståsted er der viktig med god segmentering og hvitelisting, i tråd med Zero Trust.
  • Skulle de kriminelle få fotfeste på din server og begynne å bevege seg internt, er det viktig med MFA på alle RDP tjenester. Vi kan hjelpe dere med å etablere dette.
Se her for mer informasjon:

 

Idap og rmi

Vi anbefaler alle kunder å kjøre dette søket i egne logger, for å se etter forsøk på utgående kommunikasjon fra en hvilken som helst enhet i nettverket på ldap og rmi, som typisk blir misbrukt i sårbarheten. Basert på dette søket kan man aktivere alarmering via Log Forwarding, men også skape rapporter som sendes ut daglig til de som er relevante mottagere. Hør med oss for detaljer om hvordan dette kan fikses).

app eq Idap-kristisk sårbarhet

Her er filteret dere bruker i Traffic logs: "(app eq ldap or app eq rmi-iiop) and ( zone.dst eq Internett )".
Bytt naturligvis ut "Internett" med riktig sonenavn dere bruker for deres internettsone.


Palo Alto Networks

PAN-OS 9.0.15, PAN-OS 9.1.12-h3 and PAN-OS 10.0.8-h8 and are now available!

The PAN-OS 9.0.15, PAN-OS 9.1.12-h3 and PAN-OS 10.0.8-h8 software updates are now available on the Palo Alto Networks Software Updates page. Check out the Release Notes (PAN-OS 9.0.15, PAN-OS 9.1.12-h3 and PAN-OS 10.0.8-h8) for release details, including the new features and bug fixes.

This update includes a security fix for Log4j related vulnerabilities known to impact Panorama appliances. Please see the security advisory for the latest information.


Palo Alto Networks Prisma Cloud
Prisma Cloud kan bistå på flere måter i skyen og din IaaS for å oppdage, beskytte og virtuelt patche mot Log4Shell CVE.

  1. Identifisere Log4Shell CVE - Prisma Cloud kan bistå i å identifisere sårbarheter, inkludert nevnte CVE`er, i både hoster, containere og serverless functions med defender agenten, som er en del av cloud workload protection funksjonen i Prisma Cloud.
  2. Beskytte - Med WAAS - (Web Application and API Security) modulen, sammen med runtime beskyttelse og mikro-segmentering kan Prisma Cloud beskytte mot sårbarheter, inluderte nevnte CVE`er.
  3. Patche, Prisma Cloud bidrar i hele livssyklusen til applikasjonen, og vil oppdage sårbarheter fra code repos, CI builds, container og function repositories og runtime beskyttelse.
Eksisterende kunder kan nyttegjøre seg WAAS uten kostnad frem til 28 februar for å beskytte seg mot Log4J sårbarheten. Dette gjelder eksisterende kunder som ikke har WAAS i dag. Ta kontakt med oss for bistand.

 

Oppdateringer 20. desember      

Palo Alto Networks 

Patching av Log4J er fortsatt anbefaling nummer 1. Deretter er det mange forskjellige anbefalinger alt ettersom hvem som gir anbefalingen. Dette går på alt fra å ta ned tjenester, koble vekk funksjoner, til sikkerhetsmekanismer. Ingen kan alt, og derfor vil de forskjellige anbefale elementer som de kan adressere.

Vi i Data Equipment vil derfor komme med anbefalinger relatert til det vi jobber med og kan. Mye av det vi jobber med kan gjøre sikkerhet uten å ta ned produksjon eller tjenester. Noen av anbefalingene er proaktiv sikkerhet, mens andre er reaktive. Noe oppdateres automatisk, mens noe krever tiltak fra eier av system på alt fra endring av policy og regelsett, segmentering av nettverk, software oppgraderinger til restart av tjenester.

Anbefalinger for brannmurene

Next-Generation Firewalls (PA-Series, VM-Series and CN-Series) or Prisma Access with a Threat Prevention security subscription can automatically block sessions related to this vulnerability using Threat IDs.

  • 91991, 91994, 91995, 92001 and 92007 (Application and Threat content update 8505).
  • Customers already aligned with our security best practices gain automated protection against these attacks with no manual intervention. These signatures block the first stage of the attack.
  • Customers should verify security profile best practices are applied to the relevant security policies and have critical vulnerabilities set to reset or default actions.
  • Additionally, the Log4j RCE requires access to code hosted externally. Our Advanced URL Filtering security service is constantly monitoring and blocking new, unknown and known malicious domains (websites) to block those unsafe external connections.
  • Also, suitable egress application filtering can be used to block the second stage of the attack. Use App-ID for ldap and rmi-iiop to block all RMI and LDAP to or from untrusted networks and unexpected sources.
    • Hvitelisting er anbefalingen her. Dette må på agendaen og adresseres over tid. I påvente av at dette kommer på plass, er en reaktiv aktivitet å sperre disse to applikasjonene fra alle soner mot internett på alle porter
  • SSL decryption needs to be enabled on the firewall to block known attacks over HTTPS.
    • Dette gjelder først og fremst SSL Inbound Inspection mot alle servere for å være mer robust mot misbruk av sårbarhetene mot internettbaserte servere og tjenester.
    • Deretter må/bør SSL Forward Proxy aktiveres utgående, først og fremst for servere, for å være bedre rustet til å kunne stoppe utgående Command & Control

Les også artikkel IP vs FQDN vs URL

Cortex XDR, på klienter OG servere

Cortex XDR customers running Linux agents and content 290-78377 are protected from a full exploitation chain using the Java Deserialization Exploit protection module. Other Cortex XDR customers are protected against various observed payloads stemming from CVE-2021-44228 through Behavioral Threat Protection (BTP). Additionally, Cortex XDR Pro customers using Analytics will have post-exploitation activities detected related to this vulnerability.

 

NSM

Vi anbefaler å følge med på NSM sine oppdateringer for Apache log4j CVE-2021-44228.

NCSC understreker at tiltakene ovenfor kun adresserer risikoen for fremtidige utnyttelser. Det er meldt om observasjoner av utnyttelse så tidlig som 1. desember 2021. Det er derfor et potensial for at trusselaktører kan ha utnyttet sårbarheten på et tidligere tidspunkt enn publiseringen 9. desember. Virksomheter bør derfor undersøke om berørte applikasjoner har tegn på kompromittering tilbake i tid, i hvert fall tilbake til 1. desember.

CVE-2021-44228

Informasjonssiden fra Apache

 

Center for Internet Security (CIS)

Her er informasjonssiden fra Center for Internet Security

  • «It is important to note that simply updating Log4j may not resolve issues if an organization is already compromised. In other words, updating to the newest version of any software will not remove accesses gained by adversaries or additional malicious capabilities dropped in victim environments.»
  • Assume breach. Assume compromise. Anta at noen allerede har misbrukt sårbarheten. Hva da? Mer informasjon nedenfor

 

Det er de siste dagene oppdaget ytterligere 2 sårbarheter:

  • CVE-2021-44228, adressert i 2.15.0: Dette er en alvorlig RCE med score 10 av 10
  • CVE-2021-45046, adressert i 2.16.0: Dette er en kombinasjon av RCE og LCE med score 9 av 10
  • CVE-2021-45105, adressert i 2.17.0: Dette er en DoS sårbarhet med en score 7.5 av 10


Det anbefales å hviteliste utgående serverkommunikasjon per server/servergruppe. Inkluder URL der dette er relevant (som vist i bilde lenger opp i artikkelen). Dette burde prioriteres for så mye som mulig.

Men, mens man venter på etableringen av et fullt hvitelistet regelsett, anbefaler vi å sperre for utgående kommunikasjon fra servere med følgende applikasjoner:

  • Source zone: serversoner, inkludert DMZ’er
  • Destination zone: internet
  • Application: ldap og rmi-iiop
  • Service: any port/service
  • Action: deny

Hvitelisting er proaktivt. Svartelisting er reaktivt. Begge deler kan fungere, men innsatsen er veldig forskjellig.
Men må man, så må man.

 

Tidligere oppdateringer

De korte anbefalingene er

  • Oppdater så raskt som mulig der dette er mulig
  • Hvitelist inngående trafikk med URL/FQDN og eliminer å havne på angripernes radar
  • Hvitelist utgående servertrafikk for å hindre nedlasting av skadelig kode og etablering av en bakdør
  • Sikre at internettbaserte tjenester ikke er i samme segment som interne og kritiske tjenester. Ha kontroll på tilganger.

Les Zero Trust og Zero Day når serveren ikke er oppdatert

Videre i artikkelen vil vi oppsummere hvordan denne sårbarheten påvirker produkter vi leverer. Her mangler vi informasjon fra noen av leverandørene våre, og vil oppdatere denne siden ettersom vi får svar. Vi vil også synliggjøre hvordan produktene vi leverer er i stand til å beskytte deres tjenester mot misbruk i forbindelse med denne sårbarheten

CVSS score 10 sier en god del om hvor kritisk det er at man tar dette på alvor og handler raskt. Det er tiden fra en sårbarhet annonseres til den blir patchet som er vinduet du har til å være raskere enn de kriminelle. Men denne funksjonen er det ikke alltid at du kan patche, da den kan være innebygget i totalpakker som krever en helhetlig oppdatering. Så enten må man patche veldig raskt, eller så må man finne andre tiltak, som er noe vi vil oppsummere her.

Å ha denne sårbarheten på en internetteksponert tjeneste er meget sårbart, mens en intern tjeneste med god sikkerhet ved segmentering og hvitelisting, gjerne er mindre kritisk.

Les: Så, du utsetter å patche systemer fordi du skal kvalitetssikre sikkerhetsoppdateringene?


Palo Alto Networks

Det er bekreftet at kun PAN-OS for Panorama versjon 9.0, 9.1 og 10.0 er berørt av sårbarheten.

  • We have determined this issue impacts PAN-OS 9.0, PAN-OS 9.1, and PAN-OS 10.0 versions for Panorama. Hotfixes are in development to address the vulnerability on impacted PAN-OS versions.
    Note: PAN-OS 8.1 and PAN-OS 10.1 versions for Panorama are not impacted by this issue. All versions of PAN-OS for firewalls and WildFire Appliances are not affected.
  • Sikre at Panorama ikke har fri internettilgang. Lag en egen regel i brannmur som kun tillater Palo Alto Networks services mot internett.
  • https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
  • SSL dekryptering av innkommende trafikk til berørte servere er viktig for å kunne utnytte signaturene i Vulnerability Protection:

PAN Modified Vulnerability

  • URL-baserte regler til webserver: Når man lager en regel for å tillate trafikk fra internett til sin server i DMZ, åpner man for applikasjon SSL om man ikke dekrypterer, eller web-browsing, eller mer spesifikk, om man dekrypterer. Det som også er viktig i denne regelen er å legge til URL i form av FQDN. Da vil kun forespørsler til www.firma.no tillates, mens forsøk mot IP adressen vil bomme på regelen og treffe deny regelen. Dette kan være nok til å stoppe angrepet.

PAN_Ubuntu server outbound

PAN-Ubuntu-from-web

  • https://www.randori.com/blog/cve-2021-44228/:
    Based on our experience exploiting this vulnerability, we suggest organizations take the following steps to reduce their risks at this time:
    • Where available, configure firewalls to prevent outbound connections from affected applications (default deny). Network egress filtering has proven to be effective at blocking this attack, for our techniques and those we are currently aware of, but additional techniques may emerge. Until patches are available for the affected products, aggressive egress filtering is the most effective mitigation for systems which cannot be disconnected from the internet.
  • Zero Trust. Segmentering av nettverk for servere er meget viktig.
    • Ha god applikasjonsbasert hvitelisting mellom sonene.
    • Unngå å ha internettservere i samme nettverk og sone som interne servere. Segmentering er et prosjekt

New-Vulnerability

Version 8500 inneholder to nye signaturer med utvidet beskyttelse mot CVE-2021-44228. Sikre at denne er på plass i brannmuren din, og at Vulnerability Protection er i tråd med Best Practice som sikrer at denne trafikken blir stoppet. Sikre også at dette er aktivt på absolutt alle regler.

Oppdateringer fra Cortex XDR research team:
The Cortex XDR research team has investigated the above vulnerability and we are happy to announce that Cortex XDR linux agent running on version 7.0 and above, will block the known POCs our research team investigated of CVE-2021-44228*.

To ensure you are receiving alerts and monitoring any exploitation attempt

  • Upgrade Cortex XDR linux agent to version 7.0 or higher
  • Verify that your agent is on content update 290-78377
  • Do an agent check-in
  • Restart every service that might have java in it and specifically:
    • Apache Struts
    • Apache Solr
    • Apache Druid
    • Apache Flink
    • ElasticSearch
    • Flume
    • Dubbo
    • Logstash
    • Kafka
    • Spring-Boot-starter-log4j2
  • Suggested to restart the entire server for the protection to work on all services
  • The exploit attempt will be blocked by the Java Deserialization Exploit protection module which is automatically activated when you enable Known Vulnerable Processes Protection in the Linux Exploit Security profile. We highly recommend making sure the Known Vulnerable Processes Protection module is set to block (which is the default configuration). Once the module is set to block (which is the default configuration) Cortex XDR agent will block this activity and raise a Suspicious Input Deserialization alert.


*Notice that alpine environments using musl instead of libc are not covered by the java deserialization module and have coverage of some post-exploitation techniques leveraging this exploit using Behavioral Threat Prevention. Scanning attempts will not be prevented, only a full exploit chain. SElinux enabled or permissive mode hosts do not have the Java Deserialization Module and are not protected.

 

Extreme Networks

Se link for informasjon.

Etter siste oppdatering 15. desember er det kun IQVA som er berørt av Extreme Networks produkter og tjenester. Extreme Guest og 200-serien er fremdeles "under investigation".

Proofpoint

Se link for informasjon.

 

Aruba

Se link for informasjon.

 

Våre andre produsenter

Her venter vi på en offisiell uttalelse og oppdaterer siden fortløpende. 

 

Oppdateringer fra andre

SANS

Youtube-video fra SANS

SANS_

 

 

Gøran Tømte

Skrevet av Gøran Tømte

Gøran har bred og lang erfaring fra IT-bransjen, er CISO i Data Equipment og beskriver seg selv som en «Zero Trust soldier, working to change and enhance». Gøran har et brennende hjerte for IT-sikkerhet og mener at alt starter med mindset. Målet er et sikrere Norge.