Fortinet – Respons til Apache log4j sårbarheden

Nedestående finder man oversigten over produkter som er sårbare og anbefalinger:
PSIRT Advisory – https://www.fortiguard.com/psirt/FG-IR-21-245

Overordnet Fortinet psirt blog:
https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability
Den primære anbefaling er at patche log4j til 2.15 og i den forbindelse få opdateret alle 3. parts platforme som er bekræftet sårbar.

Swiss cert har skrevet en udemærket liste med anbefalinger:
https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/ 

IPS signatur har siden weekenden været tilgængelig på FortiGate og FortiADC:

Følgende IPS signatur er frigivet ” Apache.Log4j.Error.Log.Remote.Code.Execution, with VID 51006” til at beskytte mod angrebet.
BEMÆRK: Da dette er en emergency release af IPS signature så er default ACTION: ”PASS”. Her er det vigtigt at man får taget stilling til log4j sårbarheden og for sat ACTION: ”Block” i FortiGates, FADC eller FortiManager.

Hvis log4j trafikken er krypteret (https), så skal der implementeres SSL inspektion for at beskytte mod Exploit forsøg af log4j sårbarheden.

DNS & IP reputation filter:
Fortigaten og andre Fortinet platforme får kontinuerligt opdateret sinagture og IOCer på malicious domæner og IP adresser som beskytter mod angrebet. BEMÆRK: dette er ikke en løsning som kan stå alene, da de malicious aktøres backend ændres dynamisk.

FortiWeb Application signatur:

Til FortiWeb er der frigivet en signatur til at beskytte mod sårbarhedens anvendelse i dabase 0.00301 og 0.00035 for yderligere beskyttelse. Konfigurationen af denne skal foretages under ”Web Protection // known attacks” hvis man ikke har denne enabled i Web protection policy

Fortinet outbreak alert rapporten kan man få en oversigt over hvordan Fortinet beskytter mod anvendelse af sårbarheden på tværs af platforme og hvordan man kan scanne for IOCer:
https://www.fortiguard.com/outbreak-alert/log4j2-vulnerability 

Nyttige links:

Har vi været kompromitteret?
Få samlet IOCer fra forskellige sources og set logs igennem på både Fortigate, FortiWeb, FortiADC, FortiAnalyzer og naturligvis de omfattede applikationer.

https://docs.fortinet.com/document/outbreak/0.0.0/technical-tip-detecting-apache-log4j-exploits-on-faz/29 
IOCs repo – https://github.com/curated-intel/Log4Shell-IOCs


Kan vi kompromitteres? (Jeg anbefaler kun at anvende nedenstående i samarbejde med sikkerhedseksperter, applikationsudviklere eller hvis man selv har kompetencerne)
https://github.com/huntresslabs/log4shell-tester 

Liste over andre producenter og public statements:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

https://github.com/NCSC-NL/log4shell/tree/main/software

Leave a Reply

Your email address will not be published. Required fields are marked *