O que é Log4j?

log4j é uma biblioteca Java de código aberto para recursos de registro desenvolvidos e lançados pela Fundação Apache grupo. Essa biblioteca é usada como dependência de muitos aplicativos e serviços usados ​​globalmente em aplicativos Java, pois está incluída em vários Frameworks Apache como Apache Struts2, Apache Solr, Apache Druida, Apache Flink e Apache Swift, mas também, usado por Netty, MyBatis e a Spring Framework.

Qual é a vulnerabilidade do Log4j?

Um aplicativo fica vulnerável se passar uma entrada de usuário não validada para a biblioteca de registro Log4j das versões afetadas. A vulnerabilidade Log4j permite executar código remoto sem autenticação da versão 2.0-beta9 para 2.14.1. Abaixo está explicado como a vulnerabilidade Log4j é explorada.

Ações priorizadas para mitigação Log4j

Instale as atualizações mais recentes onde as instâncias Log4j são conhecidas. A primeira etapa é detectar todas as instâncias do Log4j em sua organização e aplicar as atualizações mais recentes dos repositórios oficiais.

Aplique regras de política WAF para proteger seus aplicativos implantados. O uso de firewalls de aplicativos da Web em sua organização pode melhorar o monitoramento e o bloqueio da exploração desta vulnerabilidade. Apenas certifique-se de bloquear solicitações em que os URLs contenham strings como “jndi: ldap”. Observe que as variantes podem ignorar as regras WAF atuais ou os aplicativos em que esse recurso LDAP é usado podem não ser utilizáveis. Certifique-se de tê-los atualizados.

Considere usar ZEVENET como firewall de aplicativo da Web para mitigação Log4j.

O ZEVENET é afetado pela vulnerabilidade Log4j?

Aparelhos ZEVENET ou serviços públicos não são afetados já que os frameworks Apache não estão sendo usados.

Como proteger meus aplicativos contra a vulnerabilidade Log4j com ZEVENET Web Application Firewall

Depois de criar um serviço ou farm virtual para nosso aplicativo, aplique as seguintes etapas para criar a regra WAF:

Crie um novo conjunto de regras
Crie um novo Açao Social regra no novo conjunto de regras. A configuração da regra deve ser:

     Resolução: negar (interromper a solicitação e não executar as regras restantes)
     Fase: os cabeçalhos de solicitação são recebidos

Crie uma condição na regra com a seguinte configuração:

     Variáveis: REQUEST_URI, REQUEST_HEADERS
     Transformações: minúsculas, urlDecodeUni
     Operador: strContains
     Operando: jndi: ldap

Finalmente, inicie o conjunto de regras e aplique-o aos farms desejados.

Observe que, com este conjunto de regras, todas as solicitações HTTP em que os URLs e cabeçalhos serão analisados ​​em busca da string vulnerável.