Lansweeper, la plataforma líder de gestión de activos de TI, ha publicado dos reportes para ayudar a las empresas a identificar los dispositivos y aplicaciones afectados por la vulnerabilidad Log4Shell, de Apache.
La vulnerabilidad de ejecución remota de código fue anunciada el 9 de diciembre pasado y se encuentra en el componente de registro basado en Java Log4j, siendo extremadamente fácil de explotar para tomar el control completo de los sistemas o aplicaciones vulnerables. Desde entonces, la vulnerabilidad está bajo ataque activo.
Cualquier aplicación que use log4j 2.0-beta9 a 2.14.1 es vulnerable.
Es tan amplio el uso de esta biblioteca que no existe una lista simple de todas las aplicaciones que la usan. Algunos intentos por generar una descripción general centralizada de los productos afectados son:
- Lista de software afectado, por el Centro de Seguridad Cibernética Holandés
- Colección de avisos de BlueTeam
- Guía de referencia de la vulnerabilidad Log4Shell, de Tech Solvency
Las versiones 2.0-beta9 a 2.14.1 de la biblioteca log4j son vulnerables hasta que se actualice a la última versión 2.15.0, recientemente publicada por Apache.
Encontrar con Lansweeper los dispositivos y aplicaciones afectados.
Lansweeper ha confirmado que ha investigado el impacto de la vulnerabilidad log4j en Lansweeper y que todos los servicios locales, en la nube y de terceros entregados con Lansweeper no se ven afectados.
De acuerdo con Lansweeper, como muchas aplicaciones usan la biblioteca afectada, usar una lista no siempre es el mejor método para encontrar qué dispositivos/aplicaciones tiene en su entorno se ven afectados. Sin embargo, se pueden aprovechar recursos como los proporcionados por las personas que participan en Reddit:
Estos recursos en Reddit contienen gran información sobre cómo detectar aplicaciones que ejecutan la biblioteca, posibles ataques, scripts personalizados y muchos artículos con detalles técnicos.
Con base en tales recursos, Lansweeper ha generado 2 informes que pueden ayudar a las empresas en la etapa inicial de encontrar los dispositivos afectados. Son reportes basados en la información actual disponible y que deben ser utilizados en combinación con muchos de los recursos enumerados anteriormente para minimizar la exposición a log4j.
Editores de software afectados
El primer informe de Lansweeper utiliza la lista de software del Centro de Ciberseguridad Holandés, para enumerar todo el software de los editores mencionados vulnerable por log4j. El informe está diseñado para usarse en combinación con la lista del Centro de Seguridad Cibernética Holandés para verificar si el software detectado ha sido investigado y se ha encontrado que es vulnerable. Los editores que ya se encontraron no afectados se han omitido del informe.
Entradas del registro de eventos de Log4j
El segundo informe de Lansweeper es una auditoría de registro de eventos. Una vez que configure Lansweeper para escanear más tipos de eventos, puede auditar todos los registros de eventos escaneados para la palabra “log4j”. Al habilitar el registro adicional en el registro de eventos de Windows, también puede mejorar sus posibilidades de detectar el uso de log4j.
Un ejemplo de cómo puede mejorar la cobertura de su registro es habilitando el registro de creación de procesos de auditoría. Al habilitar esto, además de habilitar el escaneo de eventos de auditoría de éxito, podrá escanear y auditar el evento 4688(S): Se ha creado un nuevo proceso.
Aparte de los dos informes nuevos, no olvide que todos los informes antiguos de Lansweeper están disponibles en la biblioteca de informes y también se pueden utilizar. Específicamente, los siguientes pueden ser útiles durante sus esfuerzos de mitigación de log4j:
- Software específico de Windows, Linux o Mac instalado
- Todos los tipos de servidores de Windows
- Gráfico de tipos de activos
- Descripción general de los procesos de Windows
- Funciones de Windows instaladas
- Descripcion general del Servicio de Escritorio Remoto
Log4j es una biblioteca usada por muchos editores y fabricantes de software, inclusive soluciones de seguridad, por lo que millones de aplicaciones han resultado afectadas por la vulnerabilidad crítica en Log4j y pueden estar siendo objeto de los ataques que ya están en activo por los ciberdelincuentes.