Trellix, ha respondido efectivamente ante uno de los mayores riesgos de ciberseguridad en las últimas décadas: Log4J. Esta vulnerabilidad, amenaza con tener un potencial impacto masivo en cualquier producto que tenga integrado la librería de Log4J en sus aplicaciones y sitios web, incluyendo servicios de almacenamiento como los de Apple iCloud, Steam, Samsung Cloud, entre otros.
El equipo de Trellix desarrolló una firma de red KB95088 que potencia el alcance de las NSP (Network Security Platform) de los clientes. Esta firma detecta los intentos de explotar CVE-2021-44228 sobre LDAP. Esta firma puede expandirse para incluir otros protocolos o servicios, incluso pueden lanzarse otras firmas próximamente para una cobertura más completa.
Paso 1:
Un atacante envía un string especial al servidor web que aloja la aplicación vulnerable. Este string puede ser ofuscado para evitar firmas de red.
Paso 2:
La aplicación procede a cargar este string en la memoria. Una vez cargado, la aplicación empieza una conexión LDAP haciendo un request a la dirección maliciosa.
Paso 3:
El servidor LDAP controlado por el atacante responde con la localización del archivo malicioso indicando la dirección HTTP URL donde está alojado.
Paso 4:
La aplicación vulnerada empieza a descargar el archivo malicioso.
Paso 5: – La aplicación vulnerada cargará y correrá el archivo malicioso del paso 4
Para proteger un ambiente contra un ataque de Log4J, Trellix recomienda una estrategia conjunta de seguridad de red acompañada de escaneos específicos a través del endpoint para detectar y prevenir efectivamente intentos de ejecución de los atacantes. La tecnología de Trellix está diseñada para brindar la capacidad a sus clientes de defenderse efectivamente.
De igual forma, otras marcas fabricantes, de las cuales somos partners, han detectado oportunamente la amenaza y brindado los siguientes detalles:
Fortinet: https://www.fortiguard.com/encyclopedia/ips/51006
Kaspersky: https://threats.kaspersky.com/en/vulnerability/KLA12391/
Eset: https://support.eset.com/en/alert8188-information-regarding-the-log4j2-vulnerability
Comentarios