...
Debido a la gravedad de esta vulnerabilidad, la Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones ruega encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a la vulnerabilidad.
Recursos Afectados (Actualizado 21/12/2021):
...
La vulnerabilidad afecta a las siguientes versiones:
- Apache Log4 desde la versión 2.0 hasta la 2.16.
Posibles Vectores de Entrada
...
La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
...
Recomendaciones (Actualizadas 2127/1201/20212022)
...
Detección de la vulnerabilidad
Paso 1. Para revisar si se está usando la versión vulnerable de log4j:
...
Paso 3. Es altamente recomendable instalar el EDR de Crowdstrike, cuyo procedimiento se encuentra a continuación:Ancla EDR EDR
- Verificar incompatibilidad de versiones NO soportadas:
Para Windows.Equipos sin proxy: Se instalará mediante línea de comandos con privilegios de administrador. El comando de instalación será:
WindowsSensor.LionLanner.exe /install /quiet /norestart CID=<Tenant CID> GROUPING_TAGS=”SERVERS_PROVINCIA”
Equipos con proxy. La instalación es similar, añadiendo los datos del proxy:
WindowsSensor.LionLanner.exe /install /quiet /norestart CID= <Tenant CID> GROUPING_TAGS=”SERVERS_PROVINCIA” APP_PROXYNAME=Proxy server hostname or IP address APP_PROXYPORT=Proxy server port - Verificar incompatibilidad de versiones NO soportadas:
Donde:
- All other Windows OSes are unsupported, including but not limited to:
All pre-GA versions/builds of Windows – Windows Insider Preview, beta, etc – unless specifically stated in a Release Note. Including but not limited to:
Windows 11 Preview Builds
Windows Server 2022 Preview Builds
Windows 7 hosts without a CrowdStrike Extended Support subscription as of January 14, 2021 [https://supportportal.crowdstrike.com/s/article/SupportAnnouncement-Falcon-Sensor-Support-Policy-for-Windows-7-SP1-and-Windows-Server-2008-R2-SP1] .
Windows Server 2008 R2 hosts without a CrowdStrike Extended Support subscription as of January 14, 2021
[https://supportportal.crowdstrike.com/s/article/Support-Announcement-Falcon-Sensor-Support-Policy-for-Windows-7-SP1-and-Windows-Server-2008-R2-
SP1] .
Windows Server 2008 (non-R2), which is based on the Vista kernel
Windows Server Core, all versions other than 2016 and 2019
Windows 10 64-bit v1511, aka Threshold 2
Windows 10 64-bit v1703, aka Redstone 2 ("RS2")
Windows 10 64-bit v1709, aka Redstone 3 ("RS3")
Windows 10 64-bit v1803, aka Redstone 4 ("RS4")
Windows 10 64-bit v1903, aka 19H1
All 32-bit versions of Windows 10 not listed above
All 32-bit versions of Windows 8.1
All versions of Windows 8
Container-based Windows OS solutions, including but not limited to Docker, are not currently supported.
Windows Embedded Standard 7 is unsupported. This version is independent from Windows 7 Embedded POS Ready, which is the only Embedded version we
do support. - Verificar que en el equipo donde se vaya a desplegar el EDR tiene acceso a las siguientes urls y debe aparecer como resultado la palabra "ok":
- All other Windows OSes are unsupported, including but not limited to:
EU-1
ts01-lanner-lion.cloudsink.net
lfodown01-lanner-lion.cloudsink.net
- Para Windows.
En Servidores: Descargar el siguiente instalador y seguir las instrucciones que se indican en el fichero Readme-Server.txt
- Para Windows.
En PCs. Descargar el siguiente instalador y seguir las instrucciones que se indican en el fichero Readme-PC.txt
- CID: Es el identificador del Tenant* del SAS (*Solicitar a la Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones: ustic.stic.sspa@juntadeandalucia.es.) GROUPING_TAGS: Es una etiqueta descriptiva que ayuda a organizar y filtrar los equipos. La recomendación es usar la cadena “SERVERS_PROVINCIA” Sustituyendo provincia por la que corresponda.
NOTA: Importante verificar los requisitos de comunicaciones antes de proceder a la instalación.
Procedimiento completo: Falcon Sensor for Windows Deployment _ Documentation _ Support _ Falcon.pdf.
...
- Para Linux.
- Verificar compatibilidad del Kernel en el procedimiento completo.
- Instalar con el comando apropiado según distribución (ver procedimiento completo). La instalación requiere privilegios de sudo.
- Establecer el CID que figura en el punto anterior.
- Establecer opciones de proxy si se requieren
- Establecer Grouping_Tags. Se recomienda usar la cadena “SERVERS_PROVINCIA” Sustituyendo provincia por la que corresponda.
- Para Linux.
...
| Version Linux | Ejecutable sensor EDR |
|---|---|
| Debian | |
| RHEL_CentOS_Oracle6 | |
| RHEL_CentOS_Oracle7 | |
| RHEL_CentOS_Oracle8 | |
| Ubuntu |
NOTA: Importante verificar los requisitos de comunicaciones antes de proceder a la instalación.
Procedimiento completo: Falcon Sensor for Linux Deployment _ Documentation _ Support _ Falcon.pdf.
...
Mitigación
1º. Solución a la vulnerabilidad:
...
com.sun.jndi.cosnaming.object.trustURLCodebase = false
NOTA: Adicionalmente, aplicar las medidas de mitigación descritas en los avisos de fabricantes afectados.
3º. Incluir IOCs (Indicadores de Compromiso) en proxies y firewalls provinciales
...
El script de configuración para la descarga e incorporación de los IOCs automática es el siguiente: ScriptIOCautomatic.sh . En este script hay que sustituir <password_ftp> por la clave. Contactar con ustic.stic.sspa@juntadeandalucia.es para el envío de dichas credenciales.
...
En caso de haber detectado la explotación de esta vulnerabilidad :
debe reportar el incidente mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el Asunto: [Compromiso log4j]
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. Les seguiremos informando.
Gracias por su atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
...