...
Debido a la gravedad de esta vulnerabilidad, la Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones ruega encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a la vulnerabilidad.
Recursos Afectados (Actualizado 21/12/2021):
...
La vulnerabilidad afecta a las siguientes versiones:
- Apache Log4 desde la versión 2.0 hasta la 2.1416.1.
Posibles Vectores de Entrada
...
La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
...
Recomendaciones (Actualizadas 1527/1201/20212022)
...
Detección de la vulnerabilidad
Paso 1. Para revisar si se está usando la versión vulnerable de log4j:
...
Para otras formas alternativas de localización, consulte las siguientes indicaciones que ofrece CCN-CERT en su artículo “CCN-CERT AL 09/21 Actualización vulnerabilidad en Apache Log4j 2 (14/12/2021)”
| Si estos comandos arrojan resultados, se debe comprobar si la versión es vulnerable. |
|---|
...
Paso 2. Independientemente de lo indicado en el punto anterior, se debe verificar que el equipo está protegido con el EPP corporativo, dispone de las últimas firmas publicadasy tiene el módulo IPS instalado y habilitado.
| Recordamos que el producto está disponible tanto para Windows como para Linux |
|---|
...
Paso 3. Es altamente recomendable instalar el Agente EDR de EDR de Crowdstrike, cuyo procedimiento se encuentra a continuación:Ancla EDR EDR
- Verificar incompatibilidad de versiones NO soportadas:
Para Windows.Equipos sin proxy: Se instalará mediante línea de comandos con privilegios de administrador. El comando de instalación será:
WindowsSensor.LionLanner.exe /install /quiet /norestart CID=<Tenant CID> GROUPING_TAGS=”SERVERS_PROVINCIA”
Equipos con proxy. La instalación es similar, añadiendo los datos del proxy:
WindowsSensor.LionLanner.exe /install /quiet /norestart CID= <Tenant CID> GROUPING_TAGS=”SERVERS_PROVINCIA” APP_PROXYNAME=Proxy server hostname or IP address APP_PROXYPORT=Proxy server port - Verificar incompatibilidad de versiones NO soportadas:
Donde:
- All other Windows OSes are unsupported, including but not limited to:
All pre-GA versions/builds of Windows – Windows Insider Preview, beta, etc – unless specifically stated in a Release Note. Including but not limited to:
Windows 11 Preview Builds
Windows Server 2022 Preview Builds
Windows 7 hosts without a CrowdStrike Extended Support subscription as of January 14, 2021 [https://supportportal.crowdstrike.com/s/article/SupportAnnouncement-Falcon-Sensor-Support-Policy-for-Windows-7-SP1-and-Windows-Server-2008-R2-SP1] .
Windows Server 2008 R2 hosts without a CrowdStrike Extended Support subscription as of January 14, 2021
[https://supportportal.crowdstrike.com/s/article/Support-Announcement-Falcon-Sensor-Support-Policy-for-Windows-7-SP1-and-Windows-Server-2008-R2-
SP1] .
Windows Server 2008 (non-R2), which is based on the Vista kernel
Windows Server Core, all versions other than 2016 and 2019
Windows 10 64-bit v1511, aka Threshold 2
Windows 10 64-bit v1703, aka Redstone 2 ("RS2")
Windows 10 64-bit v1709, aka Redstone 3 ("RS3")
Windows 10 64-bit v1803, aka Redstone 4 ("RS4")
Windows 10 64-bit v1903, aka 19H1
All 32-bit versions of Windows 10 not listed above
All 32-bit versions of Windows 8.1
All versions of Windows 8
Container-based Windows OS solutions, including but not limited to Docker, are not currently supported.
Windows Embedded Standard 7 is unsupported. This version is independent from Windows 7 Embedded POS Ready, which is the only Embedded version we
do support. - Verificar que en el equipo donde se vaya a desplegar el EDR tiene acceso a las siguientes urls y debe aparecer como resultado la palabra "ok":
- All other Windows OSes are unsupported, including but not limited to:
EU-1
ts01-lanner-lion.cloudsink.net
lfodown01-lanner-lion.cloudsink.net
- Para Windows.
En Servidores: Descargar el siguiente instalador y seguir las instrucciones que se indican en el fichero Readme-Server.txt
- Para Windows.
En PCs. Descargar el siguiente instalador y seguir las instrucciones que se indican en el fichero Readme-PC.txt
- CID: Es el identificador del Tenant* del SAS (*Solicitar a la Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones: ustic.stic.sspa@juntadeandalucia.es.) GROUPING_TAGS: Es una etiqueta descriptiva que ayuda a organizar y filtrar los equipos. La recomendación es usar la cadena “SERVERS_PROVINCIA” Sustituyendo provincia por la que corresponda.
NOTA: Importante verificar los requisitos de comunicaciones antes de proceder a la instalación.
Procedimiento completo: Falcon Sensor for Windows Deployment _ Documentation _ Support _ Falcon.pdf.
...
- Para Linux.
- Verificar compatibilidad del Kernel en el procedimiento completo.
- Instalar con el comando apropiado según distribución (ver procedimiento completo). La instalación requiere privilegios de sudo.
- Establecer el CID que figura en el punto anterior.
- Establecer opciones de proxy si se requieren
- Establecer Grouping_Tags. Se recomienda usar la cadena “SERVERS_PROVINCIA” Sustituyendo provincia por la que corresponda.
- Para Linux.
| Version Linux | Ejecutable sensor EDR |
|---|---|
| Debian | |
| RHEL_CentOS_Oracle6 | |
| RHEL_CentOS_Oracle7 | |
| RHEL_CentOS_Oracle8 | |
| Ubuntu |
NOTA: Importante verificar los requisitos de comunicaciones antes de proceder a la instalación.
Procedimiento completo: Falcon Sensor for Linux Deployment _ Documentation _ Support _ Falcon.pdf.
...
Mitigación
1º. Solución a la vulnerabilidad:
Apache ha lanzado la versión Log4j-2.1517.0 o posterior para abordar esta vulnerabilidad. Para más información sobre cómo instalar las actualizaciones y las distintas extensiones se dispone del siguiente enlace:
...
com.sun.jndi.cosnaming.object.trustURLCodebase = false
NOTA: Adicionalmente, aplicar las medidas de mitigación descritas en los avisos de fabricantes afectados.
3º. Incluir IOCs (Indicadores de Compromiso) en proxies y firewalls provinciales
...
Este repositorio de Andalucia-CERT , a su vez, proviene de los análisis de la cibertinteligencia de la herramienta REYES (CCN-CERT).
...
Los IOC que recomienda CCN-CERT en los dos links anteriores y , que corresponden a indicadores de explotación de la vulnerabilidad, no ya están incluidos aún en REYES, por lo que se recomienda que se traten de manera no automática (se adjuntan los ficheros .txt para que se incluyan en las ACL de denegación tanto en firewalls como en proxies).
...
automáticaa través de la ejecución del script preparado para tal efecto.
El script de configuración para la descarga e incorporación de los IOCs automática es el siguiente: ScriptIOCautomatic.sh . En este script hay que sustituir <password_ftp> por la clave. Contactar con ustic.stic.sspa@juntadeandalucia.es para el envío de dichas credenciales.
...
En caso de haber detectado la explotación de esta vulnerabilidad :
debe reportar el incidente mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el Asunto: [Compromiso log4j]
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. Les seguiremos informando.
Gracias por su atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
...