Versiones comparadas

Clave

  • Se ha añadido esta línea.
  • Se ha eliminado esta línea.
  • El formato se ha cambiado.

...

Debido a la gravedad de esta vulnerabilidad, la Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones ruega encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a la vulnerabilidad.

Recursos Afectados (Actualizado 21/12/2021):

...

La vulnerabilidad afecta a las siguientes versiones:

  • Apache Log4 desde la versión 2.0 hasta la 2.16.

Posibles Vectores de Entrada

...

La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

...

Recomendaciones (Actualizadas 2127/1201/20212022)

...

Detección de la vulnerabilidad

Paso 1. Para revisar si se está usando la versión vulnerable de log4j:

...

Ancla
EDR
EDR
Paso 3. Es altamente recomendable instalar el EDR de Crowdstrike, cuyo procedimiento se encuentra a continuación:

    • Verificar incompatibilidad de versiones NO soportadas:
      Para Windows.

      Equipos sin proxy: Se instalará mediante línea de comandos con privilegios de administrador. El comando de instalación será:

      WindowsSensor.LionLanner.exe /install /quiet /norestart CID=<Tenant CID> GROUPING_TAGS=”SERVERS_PROVINCIA
    • Equipos con proxy. La instalación es similar, añadiendo los datos del proxy:

      WindowsSensor.LionLanner.exe /install /quiet /norestart CID= <Tenant CID> GROUPING_TAGS=”SERVERS_PROVINCIA” APP_PROXYNAME=Proxy server hostname or IP address APP_PROXYPORT=Proxy server port

Donde:

    • All other Windows OSes are unsupported, including but not limited to:
      All pre-GA versions/builds of Windows – Windows Insider Preview, beta, etc – unless specifically stated in a Release Note. Including but not limited to:
      Windows 11 Preview Builds
      Windows Server 2022 Preview Builds
      Windows 7 hosts without a CrowdStrike Extended Support subscription as of January 14, 2021 [https://supportportal.crowdstrike.com/s/article/SupportAnnouncement-Falcon-Sensor-Support-Policy-for-Windows-7-SP1-and-Windows-Server-2008-R2-SP1] .
      Windows Server 2008 R2 hosts without a CrowdStrike Extended Support subscription as of January 14, 2021
      [https://supportportal.crowdstrike.com/s/article/Support-Announcement-Falcon-Sensor-Support-Policy-for-Windows-7-SP1-and-Windows-Server-2008-R2-
      SP1] .
      Windows Server 2008 (non-R2), which is based on the Vista kernel
      Windows Server Core, all versions other than 2016 and 2019
      Windows 10 64-bit v1511, aka Threshold 2
      Windows 10 64-bit v1703, aka Redstone 2 ("RS2")
      Windows 10 64-bit v1709, aka Redstone 3 ("RS3")
      Windows 10 64-bit v1803, aka Redstone 4 ("RS4")
      Windows 10 64-bit v1903, aka 19H1
      All 32-bit versions of Windows 10 not listed above
      All 32-bit versions of Windows 8.1
      All versions of Windows 8
      Container-based Windows OS solutions, including but not limited to Docker, are not currently supported.
      Windows Embedded Standard 7 is unsupported. This version is independent from Windows 7 Embedded POS Ready, which is the only Embedded version we
      do support.
    • Verificar que en el equipo donde se vaya a desplegar el EDR tiene acceso a las siguientes urls y debe aparecer como resultado la palabra "ok":

EU-1
ts01-lanner-lion.cloudsink.net
lfodown01-lanner-lion.cloudsink.net

      • En PCs. Descargar el siguiente instalador y seguir las instrucciones que se indican en el fichero Readme-PC.txt

      • CID:  Es el identificador del Tenant* del SAS (*Solicitar a la Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones: ustic.stic.sspa@juntadeandalucia.es.)
      • GROUPING_TAGS: Es una etiqueta descriptiva que ayuda a organizar y filtrar los equipos. La recomendación es usar la cadena “SERVERS_PROVINCIA” Sustituyendo provincia por la que corresponda.

NOTA: Importante verificar los requisitos de comunicaciones antes de proceder a la instalación.
Procedimiento completo: Falcon Sensor for Windows Deployment _ Documentation _ Support _ Falcon.pdf.

...


    • Para Linux.
      • Verificar compatibilidad del Kernel en el procedimiento completo.
      • Instalar con el comando apropiado según distribución (ver procedimiento completo). La instalación requiere privilegios de sudo.
      • Establecer el CID que figura en el punto anterior.
      • Establecer opciones de proxy si se requieren
      • Establecer Grouping_Tags. Se recomienda usar la cadena “SERVERS_PROVINCIA” Sustituyendo provincia por la que corresponda.

...

NOTA: Importante verificar los requisitos de comunicaciones antes de proceder a la instalación.
Procedimiento completo: Falcon Sensor for Linux Deployment _ Documentation _ Support _ Falcon.pdf.

...

 

              Mitigación

1º. Solución a la vulnerabilidad:

...

com.sun.jndi.cosnaming.object.trustURLCodebase = false
NOTA: Adicionalmente, aplicar las medidas de mitigación descritas en los avisos de fabricantes afectados.


3º. Incluir IOCs (Indicadores de Compromiso) en proxies y firewalls provinciales

...

El script de configuración para la descarga e incorporación de los IOCs automática es el siguiente: ScriptIOCautomatic.sh . En este script hay que sustituir <password_ftp> por la clave. Contactar con ustic.stic.sspa@juntadeandalucia.es para el envío de dichas credenciales.

...

En caso de haber detectado la explotación de esta vulnerabilidad :

debe reportar el incidente  mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el  Asunto: [Compromiso log4j]

Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. Les seguiremos informando.

Gracias por su atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

...