Você está pronto para o estágio 2 dos ataques Log4Shell?

As ondas gigantes do recém-descoberto ataque de dia zero do Log4Shell ainda não foram determinadas. Muitas organizações se apressaram em corrigir seus servidores, tornando-os imunes aos ataques massivos relatados. No entanto, apenas corrigir seus servidores não é suficiente para garantir que esse problema crítico superfície de ataque foi coberto. Embora a execução da versão atualizada do log4j realmente proteja contra ataques futuros, deve-se também abordar a possibilidade de que alguns servidores possam ter sido comprometidos prévio para o patch. Neste artigo, explicaremos a viabilidade desse cenário e faremos recomendações práticas para mitigá-lo de forma proativa.

Recapitulação da atividade Log4Shell-In-the-Wild

Apache Log4j é um utilitário de registro de código aberto baseado em Java amplamente usado por aplicativos corporativos. Os relatórios iniciais sobre Log4Shell (CVE-2021-44228) datam de 9 de dezembro. Esses relatórios foram rapidamente seguidos por um desenvolvimento extremamente rápido de novas variantes de exploração, com novas variações da exploração original sendo introduzidas rapidamente – mais de 60 em menos de 24 horas.[1] Além disso, apenas nestas 24 horas, aumentaram os ataques a organizações em todo o mundo, com vários fornecedores de segurança a reportar que grande parte dos seus clientes foram alvo de hackers que tentavam explorar a vulnerabilidade. [2] Atualmente, a exploração está rapidamente integrada ao arsenal de malware comum[3] e também está em uso por grupos avançados de ataque de estados-nação.

Presumir violação – atacada até prova em contrário

O enorme volume destes ataques representa um desafio para qualquer parte interessada na segurança que tenha corrigido os seus servidores vulneráveis. O rápido desenvolvimento e ritmo de uso da exploração da vulnerabilidade significa que há pelo menos uma probabilidade viável de que seus servidores possam ter sido alvo da exploração antes da aplicação do patch. Acreditamos firmemente que a melhor prática de segurança, neste caso, é agir como se os seus servidores tivessem sido comprometidos até que esta ameaça seja refutada de forma confiável. Vamos rever as diversas implicações de tal compromisso para melhor compreendermos como enfrentar esta ameaça de forma eficiente.

Possíveis cenários de ameaça de estágio 2 após um compromisso silencioso

Ficar quieto até a hora certa

O Log4Shell por si só permite que os invasores estabeleçam uma posição inicial em seu ambiente. Esta posição não é o objectivo dos atacantes, mas sim uma fase preliminar essencial. Isso significa que se os invasores realmente exploraram a vulnerabilidade e ganharam presença em um de seus servidores voltados para a Web, não há incentivo para que eles chamem a atenção para si mesmos. Em vez disso, é mais provável que eles operem de forma lenta e lenta, coletando credenciais adicionais e talvez expandindo para máquinas adicionais na sua rede antes de tentarem executar o objetivo real do ataque. A julgar pelas explorações comuns que vemos, há uma boa probabilidade de que este objectivo seja uma ransomware ataque que encerraria suas operações, mas também pode ser roubo de sua propriedade intelectual ou PII de seus funcionários ou clientes.

Venda o acesso

Alternativamente, o invasor não pode utilizar o acesso à rede por conta própria. Em vez disso, eles poderiam vender o acesso ao servidor a terceiros na dark web.

Resultado final: exposição ao movimento lateral e propagação de ransomware

De uma forma ou de outra, pode muito bem haver invasores com as chaves do seu reino, ou seja, os nomes de usuário e as credenciais dos usuários padrão e administradores. Isto é ruim porque embora o compromisso inicial danifique uma única máquina, é o movimento lateral parte que transforma um evento local em um risco para toda a empresa. As credenciais comprometidas permitem que os invasores façam exatamente isso.

O efeito natalino

Não esqueçamos que os invasores normalmente optam por feriados e fins de semana. As próximas férias de Natal são um momento especialmente ruim para as credenciais de seus funcionários caírem em mãos erradas. Acreditamos que os invasores de ambos os tipos descritos acima permanecerão em silêncio enquanto isso, esperando a hora certa – o Natal pode ser o momento perfeito.

Silverfort Recomendações de melhores práticas para credenciais comprometidas

À luz de tudo o que foi dito acima, compilamos um conjunto de práticas recomendadas para enfrentar proativamente a possibilidade de que alguns de seus servidores tenham sido e talvez ainda estejam comprometidos por invasores que explorou a vulnerabilidade Log4Shell:

• Patch de ponta a ponta
  • Certifique-se de que todos os sistemas vulneráveis ​​sejam corrigidos, com atenção especial aos servidores voltados para a Internet.

• • Isole os aplicativos que você não pode corrigir tanto no nível da rede quanto na camada de identidade.

• Impedir a capacidade dos invasores de utilizar o Credenciais comprometidas para acesso malicioso adicional

• • Exigir MFA para todas as contas de administrador de todos os recursos do ambiente. Certifique-se também de que a proteção MFA se aplica às interfaces de acesso, incluindo utilitários de linha de comando, como PsExec, PowerShell etc., e não apenas para login RDP e desktop.
  • restringir contas de serviço operar apenas em computadores permitidos. Você deve basear isso no comportamento previsível e repetitivo dessas contas.
  • Monitore seu ambiente de perto em busca de eventos suspeitos e maliciosos, como um aumento repentino nas solicitações de acesso simultâneo de um único usuário ou qualquer outro desvio da atividade padrão da sua conta de usuário.

Seguir essas recomendações aumentará muito sua resiliência a um comprometimento pré-existente baseado no Log4Shell e anulará a capacidade do invasor de aproveitar suas credenciais roubadas para acesso malicioso adicional.

A Silverfort A plataforma Unified Identity Protection permite que seus usuários ampliem Autenticação Baseada em Risco e MFA para qualquer usuário, serviço ou sistema, fornecendo proteção proativa contra ataques baseados em identidade que utilizam credenciais comprometidas para acessar recursos direcionados. Isso inclui proteção MFA ponta a ponta, bem como monitoramento contínuo de todas as autenticações, tanto no local quanto na nuvem. Aprender mais sobre Silverfort SUA PARTICIPAÇÃO FAZ A DIFERENÇA.