Recursos de detección, mitigación y explotación de Log4Shell
La vulnerabilidad Log4Shell que ha puesto en alerta a todos las empresas del mundo, que hacen uso de Log4j, una biblioteca de Apache, la cual tiene la finalidad de generar registros de una determinada acción en tiempos de ejecución (logs)
0️⃣ Apache Log4Shell | CVE-2021-44228 & CVE-2021-45046
En nuestro post en el blog, tienes acceso a toda la información necesaria (y en constante actualización) sobre la vulnerabilidad Log4Shell, desde una descripción de la vulnerabilidad hasta, indicadores de compromiso, recomendaciones generales de mitigación, etc.
🔗 Link: Apache Log4Shell | CVE-2021-44228 & CVE-2021-45046
📄 Reporte: Reporte de CVE-2021-44228 de GRIDAR
1️⃣ Aviso de Ciberseguridad y Reporte de Vulnerabilidad | Log4Shell (CVE-2021-44228)
Nuestro Grupo de Investigación, Detección de Amenazas y Riesgos, por sus siglas GRIDAR ha hecho publico su reporte sobre la vulnerabilidad Log4Shell.
El reporte cuenta con:
- Resumen ejecutivo.
- Descripción de la vulnerabilidad.
- Amenazas y riesgos de Log4Shell.
- Indicadores de compromiso (IoC).
- Recomendaciones generales de seguridad y mitigación.
- Herramientas de detección de Log4Shell.
2️⃣ Log4j-Scan
Log4j-scan es una de las herramientas más completas y recomendadas por muchos expertos e investigadores que han estado trabajado sobre la vulnerabilidad. Dentro de sus características son:
- Soporte para listas de URL
- Fuzzing para más de 60 encabezados de solicitud HTTP.
- Fuzzing para parámetros de datos HTTP POST
- Fuzzing para parámetros de datos JSON
- Devolución de llamadas DNS
- Payloads para realizar un ByPass a WAF.
🔗 Link: Herramienta Log4j-scan
3️⃣ Herramienta Log4j-detector
Es un escáner el cual detecta las versiones vulnerables de Log4j. Esta herramienta realiza un escaneo a profundidad en las instancias de Log4j, examinado todo el sistema de archivos, aplicaciones instaladas, incluso puede identificar instancias ocultas a "profundidad" de Log4j que puedan comprometer la seguridad de los sistemas.
Los resultados de esta herramienta son fáciles de comprender (recomendado para usuarios poco experimentados). Al concluir con el escaneo, podemos ver al final de cana linea los indicadores de seguridad:
- _POTENTIALY_SAFE_: Seguro
- _SAFE_: Seguro. Solo para versiones 2.3.1, 2.13.3 y 2.17.0
- _OKAY_: Recomendación de actualización para versiones; 2.12.2, 2.15.0, 2.16.0 a 2.17.0
- _OLD_: No es vulnerable a CVE-2021-44228 pero requiere actualización
- _VULNERABLE_: Requiere actualización
🔗 Descargar: Log4j-Detector
4️⃣ Exploit de Apache Log4j v2
🔗 Link: PoC/Exploit de Log4j v2 CVE-2021-44228
5️⃣ Herramienta para buscar direcciones IP que exploten Log4Shell o sean vulnerables | Segu-info
El equipo de Segu-Info ha publicado un buscador con el cual podemos verificar si una direccion IP utiliza alguna version de Log4j vulnerable o si la direccion es del tipo maliciosa y se ha empleado para explotar la vulnerabilidad Log4Shell.
Esta herramienta hace uso de los recursos de inteligencia de CriticalPatthSecurity y CrowdSec, por lo cual la base de datos siempre esta actualizada
🔗 Link: Escaner de IP de Segu-Info
6️⃣ Log4j Vulnerability Tester | Trendmicro
Trendmicro, tiene su escáner online, con el cual podemos escanear nuestros sistema en busca de las vulnerabilidades CVE-2021-44228 y CVE-2021-45046, con la cual podemos generar una solicitud y probar su nuestros sistemas son vulnerables.
Podemos hacer uso de esta herramienta, para tener indicios de que nuestro sistema es potencialmente vulnerable, con lo cual podemos hacer uso de las herramientas Log4j-scaner y Log4j-Detector mencionadas anteriormente y realizar una investigación más a fondo.
0 Comentarios