Nedestående finder man oversigten over produkter som er sårbare og anbefalinger:
PSIRT Advisory – https://www.fortiguard.com/psirt/FG-IR-21-245
Overordnet Fortinet psirt blog:
https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability
Den primære anbefaling er at patche log4j til 2.15 og i den forbindelse få opdateret alle 3. parts platforme som er bekræftet sårbar.
Swiss cert har skrevet en udemærket liste med anbefalinger:
https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
IPS signatur har siden weekenden været tilgængelig på FortiGate og FortiADC:
Følgende IPS signatur er frigivet ” Apache.Log4j.Error.Log.Remote.Code.Execution, with VID 51006” til at beskytte mod angrebet.
BEMÆRK: Da dette er en emergency release af IPS signature så er default ACTION: ”PASS”. Her er det vigtigt at man får taget stilling til log4j sårbarheden og for sat ACTION: ”Block” i FortiGates, FADC eller FortiManager.
Hvis log4j trafikken er krypteret (https), så skal der implementeres SSL inspektion for at beskytte mod Exploit forsøg af log4j sårbarheden.
DNS & IP reputation filter:
Fortigaten og andre Fortinet platforme får kontinuerligt opdateret sinagture og IOCer på malicious domæner og IP adresser som beskytter mod angrebet. BEMÆRK: dette er ikke en løsning som kan stå alene, da de malicious aktøres backend ændres dynamisk.
FortiWeb Application signatur:
Til FortiWeb er der frigivet en signatur til at beskytte mod sårbarhedens anvendelse i dabase 0.00301 og 0.00035 for yderligere beskyttelse. Konfigurationen af denne skal foretages under ”Web Protection // known attacks” hvis man ikke har denne enabled i Web protection policy
I Fortinet outbreak alert rapporten kan man få en oversigt over hvordan Fortinet beskytter mod anvendelse af sårbarheden på tværs af platforme og hvordan man kan scanne for IOCer:
https://www.fortiguard.com/outbreak-alert/log4j2-vulnerability
Nyttige links:
Har vi været kompromitteret?
Få samlet IOCer fra forskellige sources og set logs igennem på både Fortigate, FortiWeb, FortiADC, FortiAnalyzer og naturligvis de omfattede applikationer.
https://docs.fortinet.com/document/outbreak/0.0.0/technical-tip-detecting-apache-log4j-exploits-on-faz/29
IOCs repo – https://github.com/curated-intel/Log4Shell-IOCs
Kan vi kompromitteres? (Jeg anbefaler kun at anvende nedenstående i samarbejde med sikkerhedseksperter, applikationsudviklere eller hvis man selv har kompetencerne)
https://github.com/huntresslabs/log4shell-tester
Liste over andre producenter og public statements:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592