Log4Shell: 5 ações que a comunidade de TO deveria tomar de imediato

Ambientes de tecnologia operacional (TO) também correm o risco de falha Apache Log4j. Confira o que você pode fazer.

A internet está na mira dos invasores; mas disso você já sabia. CVE-2021-44228: A vulnerabilidade de execução remota de código do Apache Log4j (Log4Shell) vem sendo classificada como uma das vulnerabilidades mais difundidas e possivelmente com o maior alcance na história. O Log4j é uma biblioteca de registros em log de código aberto do Java que é amplamente utilizada pelos desenvolvedores. O uso de bibliotecas de terceiros para funcionalidade central não é apenas um problema de TI. Log4j está incorporado em ambientes de tecnologia operacional (TO). De fato, os fornecedores de TO já estão divulgando alertas sobre como os seus produtos são afetados.

Nas próximas semanas e meses, vamos começar a entender a difusão e extensão dessa vulnerabilidade em particular na infraestrutura de TO; contudo, é muito provável que ela esteja sendo usada para realizar funções críticas de registro em log de TO, deixando o sistema vulnerável à execução remota de código trivial. Ainda que você não use isso na infraestrutura de TO, você pode estar correndo riscos.

Não seria a primeira vez que um ataque migra entre TI e TO, acompanhando o movimento das organizações de convergir as operações de TI e TO. Mesmo que as suas instalações estejam plenamente isoladas, há uma probabilidade acima da média de que elas sejam “acidentalmente convergidas”. Sem ações definitivas para proteger a infraestrutura de TO, as operações podem estar em risco. 

Apenas as perguntas frequentes: CVE-2021-45046, CVE-2021-4104: Frequently Asked Questions About Log4Shell and Associated Vulnerabilities.

Confira cinco ações para proteger o ambiente de TO contra o Log4j:

1. Siga a orientação oficial. Organizações como a americana Cybersecurity and Infrastructure Security Agency (CISA) publicaram orientações específicas. É crucial inteirar-se e seguir essa orientação de forma contínua. A conformidade (e dependência) com as estruturas MITRE, o National Institute of Standards and Technology (NIST) dos EUA, os Network and Information Systems (NIS) do Reino Unido e a North American Electric Reliability Corporation (NERC) pode ajudar a sua organização a estabelecer práticas recomendadas para ficar em alerta contra as condições dinâmicas de ameaça.
2. Conheça os ativos que você tem. O inventário de ativos é a base de qualquer programa de segurança e pode oferecer conhecimento situacional aprofundado. Isso envolve mais do que simplesmente captar a marca e o modelo de todos os componentes no ambiente. E exige dispor de um inventário atualizado das versões de firmware, níveis de patch, vias de comunicação, acesso e muito mais. O monitoramento da rede por si só dará apenas alguns detalhes; a consulta ativa e específica do dispositivo também se faz necessária para ficar a par das especificidades.
3. Realize uma verificação direcionada a ativos de TI. Dispondo de um bom inventário ativo, você poderá verificar as vulnerabilidades para detectar outros pontos que podem ser afetados. Pesquisas da Tenable identificaram e lançaram assinaturas para a detecção de explorações Log4J ou Log4Shell. Os nossos lançamentos continuados de plug-ins estão disponíveis aqui. Recomenda-se realizar a verificação direcionada com plug-ins recém-liberados para identificar elementos em risco. 
4. Entenda a sua exposição de TO mais abrangente. É recomendável dispor de uma boa solução de verificação, como o Nessus, para verificar as vulnerabilidades dos ativos de TI, e ter uma opção específica de TO, como o Tenable.ot, para lidar com os ativos de TO. Na verdade, o Tenable.ot contém o Nessus e realiza verificações de vulnerabilidade em ativos de TI e TO. São utilizadas proteções específicas para garantir que o Nessus verifique apenas os ativos de TI enquanto o Tenable.ot trata dos de TO. 
5. Reduza os riscos de forma proativa. Se estiver contando apenas com alertas de detecção de intrusão para receber avisos sobre um comprometimento ou sistema explorado, será tarde demais quando isso acontecer. As avaliações contínuas de ameaças devem envolver as fontes e informações mais recentes. As redes de TI e TO já estão interconectadas na maioria dos ambientes e os agentes maliciosos estão se aproveitando dessa convergência. Se você se preocupa que o Log4j já tenha se instalado no sistema, a Tenable pode ajudar.

A longo prazo, toda a comunidade de fabricação e infraestruturas críticas precisa melhorar a sua compreensão do que está sendo utilizado nos sistemas, a fim de alcançar a profunda consciência situacional necessária para enfrentar novas ameaças à medida que estas surgem. A iniciativa Software Bill of Materials (SBOM) foi dirigida por ordem executiva emitida em maio de 2021. Uma SBOM pode proporcionar aos usuários finais a transparência necessária para saber se os seus produtos dependem de bibliotecas de software vulneráveis.

Não há dúvida de que continuaremos lidando com a vulnerabilidade de Log4j por anos a fio e, infelizmente, é certo que haverá outras vulnerabilidades no futuro. Com as pessoas, os processos e as tecnologias certas, as organizações em todo o mundo podem rapidamente e coletivamente valer-se da tomada de decisões baseada no risco para minimizar as consequências de vulnerabilidades como o Log4Shell e proteger a infraestrutura crítica global.

Michael Rothschild, diretor sênior em soluções de TO da Tenable, também contribuiu com este texto do blog.

Saiba mais

• Acesse a Central de Soluções da Tenable para Log4j: https://www.tenable.com/log4j
• Leia o alerta da SRT: CVE-2021-44228: prova de conceito para vulnerabilidade crítica de execução remota de código do Apache Log4j disponível (Log4Shell)
• Leia as perguntas frequentes: CVE-2021-44228, CVE-2021-45046, CVE-2021-4104: Frequently Asked Questions About Log4Shell and Associated Vulnerabilities
• Leia a perspectiva do CISO: A falha Apache Log4j coloca software de terceiros em evidência
• Acesse nossa comunidade de usuários para saber mais sobre como a Tenable pode ajudar: https://community.tenable.com/s/