A Arctic Wolf, uma empresa líder em operações de segurança, disponibilizou publicamente o script de detecção Log4Shell Deep Scan para detectar CVE-2021-45046 e CVE-2021-44228 em arquivos JAR, WAR e EAR no Github Disposal. O script já foi usado com sucesso por mais de 2.300 clientes da Arctic Wolf em todo o mundo.
O script, disponível para dispositivos Windows, macOS e Linux, realiza uma varredura profunda dos sistemas de arquivos dos hosts para identificar aplicativos e bibliotecas Java com código Log4j vulnerável. Se o código Log4j afetado for detectado, o script o marcará e exibirá o local de armazenamento no sistema de arquivos. As empresas podem, assim, identificar aplicativos e sistemas afetados pela vulnerabilidade Log4J.
Baixe “Log4Shell Deep Scan” no Github aqui
Para obter mais informações, consulte o readme.txt relacionado no GitHub. A Arctic Wolf continua convidando a comunidade de segurança a desenvolver ainda mais o "Log4Shell Deep Scan" para seus próprios casos de uso. Nenhuma informação é coletada pela Arctic Wolf ou enviada para a Arctic Wolf.
Por que usar o Log4Shell Deep Scan?
Identificar todas as instâncias vulneráveis do Log4j dentro de uma organização é atualmente um grande desafio para as equipes de TI e segurança. Atualizar a criticidade do CVE-2021-45046 mais recente requer nova verificação e correção de sistemas e ativos.
O Log4Shell Deep Scan deve ser usado para complementar e não substituir as soluções existentes de verificação de vulnerabilidades baseadas em rede. A Arctic Wolf recomenda que as empresas executem a ferramenta primeiro em seus sistemas de TI mais críticos e acessíveis ao público e, em seguida, verifiquem todos os outros sistemas - incluindo os sistemas localizados atrás de um perímetro de segurança.
Ao mostrar quais aplicativos são afetados e onde cada vulnerabilidade está localizada, a ferramenta permite que as equipes de TI e segurança priorizem e direcionem rapidamente essas vulnerabilidades.
As vulnerabilidades Log4j / Log4Shell são exploradas por longo prazo
A Arctic Wolf observou um grande número de atividades de varredura relacionadas às vulnerabilidades e ataques Log4j/Log4Shell nos quais os agentes de ameaças tentam proliferar malware cripto-minerador. Os agentes de ameaças de ransomware também começaram a usar ativamente o Log4Shell como um vetor de entrada para seus ataques.
O Arctic Wolf rastreia vários grupos de invasores conhecidos, incluindo os da China, Irã, Coreia do Norte e Turquia, que exploram a vulnerabilidade Log4J. Esses e outros agentes de ameaças estão ativos desde a semana retrasada, depois de tomar conhecimento de uma vulnerabilidade de dia zero. Assim que a atenção do público nas empresas diminuir, pode-se esperar que outras etapas e atividades de ataque sejam realizadas após o comprometimento inicial, de modo que será necessária atenção constante e monitoramento de segurança detalhado, especialmente em um futuro próximo.
O que vem a seguir para o Log4Shell?
A Log4Shell mantém o mundo da TI em suspense há uma semana e meia. A situação está em constante evolução e é de se esperar que essa vulnerabilidade e os efeitos associados continuem a preocupar as empresas por muito tempo. As equipes de segurança e P&D da Arctic Wolf, portanto, desenvolveram ferramentas de detecção adicionais com base nos novos métodos (por exemplo, TTPs) que provavelmente serão usados pelos invasores. Isso também inclui detectar as variações dos métodos de ataque do Log4J e reconhecer, conter e erradicar imediatamente exploits bem-sucedidos.
Pode-se presumir que agentes de ameaças sofisticados estão usando a ampla varredura Log4J e ataques de commodities para “voar sob o radar” com suas atividades, a fim de comprometer alvos de alto nível. Além disso, pode-se esperar que, em um futuro próximo, haverá significativamente mais casos de ransomware que monetizam os ataques bem-sucedidos do Log4j. Para obter mais informações sobre o impacto do Log4Shell, consulte o Webinar sob demanda da Arctic Wolf.
Mais em ArcticWolf.com
Sobre o Lobo do Ártico
A Arctic Wolf® é líder global em operações de segurança e fornece a primeira plataforma de operações de segurança nativa da nuvem para defesa contra riscos cibernéticos. Com base na telemetria de ameaças, abrangendo endpoints, redes e fontes de nuvem, o Arctic Wolf® Security Operations Cloud analisa mais de 1,6 trilhão de eventos de segurança por semana em todo o mundo. Ele fornece insights críticos para a empresa em quase todos os casos de uso de segurança e otimiza as soluções de segurança heterogêneas dos clientes. A plataforma Arctic Wolf® é usada por mais de 2.000 clientes em todo o mundo. Ele fornece detecção e resposta automatizadas a ameaças, permitindo que organizações de todos os tamanhos configurem operações de segurança de classe mundial com o apertar de um botão.