McAfee Enterprise pour la couverture Apache log4j CVE-2021-44228 exécution de code à distance
Articles techniques ID:
KB95091
Date de la dernière modification : 01/07/2022
Date de la dernière modification : 01/07/2022
Environnement
Environnements exécutant Apache Log4j2 2.14.1 ou version antérieure
Synthèse
Mises à jour récentes de cet article
McAfee Enterprise est conscient de CVE-2021-44228, communément appelée Log4Shell, récemment publié par Apache. Les attaquants peuvent exploiter les messages de journal ou les paramètres de message de journal pour effectuer une exécution de code à distance sur des serveurs LDAP et d’autres postes clients liés à JNDI. Cette vulnérabilité est considérée comme critique, avec un score CVSS ( 3.0 ) de 10.0 .
Il est conseillé aux clients de mettre à niveau les systèmes vulnérables vers Apache log4j 2.15.0. Pour les applications tierces, contactez les fournisseurs d’applications en fonction des étapes à suivre.
Important : McAfee Enterprise a publié le statut SB10377-Registered-bulletins de sécurité-McAfee les produits de l’entreprise pour "Log4Shell" (CVE-2021-44228). Le bulletin de sécurité fournit des informations aux clients concernant l’impact possible sur les produits de leur environnement, ainsi que les actions appropriées à entreprendre pour atténuer les risques. Les clients doivent passer en revue et faire une action de ces recommandations avec une priorité absolue.
En raison de la gravité de cette vulnérabilité, cet article fournit une communication sur les actions à entreprendre pour atténuer les risques dans les environnements clients. Abonnez-vous à cet article pour recevoir les mises à jour relatives à la couverture et aux contre-mesures associées.
Pour plus d’informations, reApache portez-vous aux vulnérabilités de sécurité log4j et McAfee Enterprise Advanced Threat Research blog-Log4Shell est la houille de notre stockage pour 2021.
| Date | Mise à jour |
| 21 janvier 2022 | Fichier supplémentaire .DAT mis à jour avec un fichier contenant une expiration de 90 jour. |
| 6 janvier 2022 | Mise à jour du "réglage de la règle expert pour votre environnement" section. |
| 21 décembre, 2021 | Ajout d’un fichier ExtraDAT mis à jour pour une utilisation avec la solution de règle expert contenant des pilotes de nettoyage améliorés. |
| 20 décembre 2021 | Mise à jour à l’aide d’un jeu de règles pour McAfee Web Gateway (MWG) et du spam. Ajout de la publication du blog AC3 détails de la couverture de la règle expert/ExtraDat. |
| 17 décembre 2021 | Détections IOC mises à jour observées pour les charges actives en circulation. |
McAfee Enterprise est conscient de CVE-2021-44228, communément appelée Log4Shell, récemment publié par Apache. Les attaquants peuvent exploiter les messages de journal ou les paramètres de message de journal pour effectuer une exécution de code à distance sur des serveurs LDAP et d’autres postes clients liés à JNDI. Cette vulnérabilité est considérée comme critique, avec un score CVSS ( 3.0 ) de 10.0 .
Il est conseillé aux clients de mettre à niveau les systèmes vulnérables vers Apache log4j 2.15.0. Pour les applications tierces, contactez les fournisseurs d’applications en fonction des étapes à suivre.
Important : McAfee Enterprise a publié le statut SB10377-Registered-bulletins de sécurité-McAfee les produits de l’entreprise pour "Log4Shell" (CVE-2021-44228). Le bulletin de sécurité fournit des informations aux clients concernant l’impact possible sur les produits de leur environnement, ainsi que les actions appropriées à entreprendre pour atténuer les risques. Les clients doivent passer en revue et faire une action de ces recommandations avec une priorité absolue.
En raison de la gravité de cette vulnérabilité, cet article fournit une communication sur les actions à entreprendre pour atténuer les risques dans les environnements clients. Abonnez-vous à cet article pour recevoir les mises à jour relatives à la couverture et aux contre-mesures associées.
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Pour plus d’informations, reApache portez-vous aux vulnérabilités de sécurité log4j et McAfee Enterprise Advanced Threat Research blog-Log4Shell est la houille de notre stockage pour 2021.
Problème
Apache bibliothèque de journalisation log4j contient une vulnérabilité liée à la résolution des variables dans la fonctionnalité JNDI (Java Naming and Directory Interface). Pour exploit cette vulnérabilité, un attaquant peut transmettre une chaîne de recherche JNDI à un application, via les vecteurs d’attaque LDAP, LDAPs, RMI ou DNS. L’exigence principale de cette vulnérabilité est que l’entrée d’un champ dans la application est transmise dans un journal dirigé via le composant log4j.
Apache a mis à jour ses directives le 14 décembre 2021 concernant la mise à niveau du composant log4j à partir de la version initialement résolue de 2.15.0 , vers une nouvelle 2.16.0 version, en raison de la publication de CVE-2021-45046 (CVSS ( 3.0 ) 3.7 ). La version 2.15.0 log4j était incomplète dans certaines configurations autres que celles par défaut, concernant le contexte de thread et les modèles de recherche de contexte, qui permettent à des données d’entrée JNDI malveillantes d’invoquer une attaque par déni de service. Si ces configurations autres que celles par défaut sont utilisées, les étapes d’atténuation pour CVE-2021-44228 de la définition de la propriétélog4j2.noFormatMsgLookup système sur true, n’atténuent pas la vulnérabilité CVE-2021-45046.
Pour les versions de log4j antérieures à 2.16.0 , la suppression de la classe JndiLookup du CLASSPATH reste une mesure d’atténuation viable pour CVE-2021-44228 et CVE-2021-45046.
Exemple :zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Les communications précoces de Apache indiquaient également que la mise à jour de Java à un minimum de Java 8u121 pouvait se protéger contre l’exécution de code à distance en définissant par défaut "com.sun.jndi.rmi.object.trustURLCodebase " et " com.sun.jndi.cosnaming.object.trustURLCodebase " sur "false". Ces informations ont été supprimées du site de vulnérabilité de sécurité Apache et ne semblent pas être entièrement susceptibles d’empêcher l’exécution de code à distance. Si les approches de cette nature peuvent fournir une couche d’isolation des risques, elle ne supprimera pas la vulnérabilité de votre environnement. La seule correction efficace consiste à s’assurer que les applications concernées reçoivent les mises à jour appropriées.
Il est important de noter qu’une autre vulnérabilité, CVE-2021-4104, a été publiée le 14 décembre 2021. Cette vulnérabilité est similaire à la méthode d’attaque et affecte la version 1.2. log4j cette vulnérabilité n’est pas aussi facile à exploiter et nécessite plusieurs conditions préalables à être configurée sur une configuration autre que la configuration par défaut.JMSAppender doit être activé et défini avec TopicBindingName ou TopicConnectionFactoryBindingName configurations pour effectuer des JMSAppender demandes JNDI.
Apache a mis à jour ses directives le 14 décembre 2021 concernant la mise à niveau du composant log4j à partir de la version initialement résolue de 2.15.0 , vers une nouvelle 2.16.0 version, en raison de la publication de CVE-2021-45046 (CVSS ( 3.0 ) 3.7 ). La version 2.15.0 log4j était incomplète dans certaines configurations autres que celles par défaut, concernant le contexte de thread et les modèles de recherche de contexte, qui permettent à des données d’entrée JNDI malveillantes d’invoquer une attaque par déni de service. Si ces configurations autres que celles par défaut sont utilisées, les étapes d’atténuation pour CVE-2021-44228 de la définition de la propriété
Pour les versions de log4j antérieures à 2.16.0 , la suppression de la classe JndiLookup du CLASSPATH reste une mesure d’atténuation viable pour CVE-2021-44228 et CVE-2021-45046.
Exemple :
Les communications précoces de Apache indiquaient également que la mise à jour de Java à un minimum de Java 8u121 pouvait se protéger contre l’exécution de code à distance en définissant par défaut "
Il est important de noter qu’une autre vulnérabilité, CVE-2021-4104, a été publiée le 14 décembre 2021. Cette vulnérabilité est similaire à la méthode d’attaque et affecte la version 1.2. log4j cette vulnérabilité n’est pas aussi facile à exploiter et nécessite plusieurs conditions préalables à être configurée sur une configuration autre que la configuration par défaut.
Solution
Apache a publié log4j 2.16.0 pour corriger cette vulnérabilité (mise à jour : 12/14). McAfee Enterprise recommande d’appliquer cette mise à jour aux systèmes concernés et de consulter les configurations log4j appropriées dans votre environnement afin d’identifier les workflows potentiels susceptibles d’être concernés par cette vulnérabilité. Pour les applications tierces, contactez les fournisseurs d’applications en fonction des étapes à suivre.
Une multitude de méthodes ont été observées lorsque les attaquants utilisaient Log4Shell. Il existe un large éventail de cette vulnérabilité, et la seule manière la plus simple d’ensemencer des risques, est d’appliquer les mises à jour fournisseur et de passer en revue les configurations application. Ces actions permettent de s’assurer que la vulnérabilité est atténuée en fonction des recommandations de Apache. Comme pour tous les principaux zéro jour, la meilleure approche en matière de sécurité est de supposer que vous avez déjà été analysé, que vous êtes ciblé et que vous appliquez des mesures de correction ou d’atténuation avec une priorité absolue. McAfee Enterprise travaille de façon permanente pour assurer la couverture de cette menace et de s’assurer que les administrateurs de la sécurité sont activés lors de leurs investigations lors de l’évaluation de leur environnement.
Les produits d’entreprise McAfee-ils concernés par cette vulnérabilité ?
McAfee Enterprise examine tous les produits de notre portefeuille pour évaluer l’impact potentiel et les risques pour les clients. Le 13 décembre 2021, McAfee Enterprise publiait un bulletin de sécurité formel pour fournir des conseils aux clients sur les produits concernés par cette vulnérabilité. L’objectif était de hiérarchiser les produits qui n’incluent pas le composant log4j ou qui ne sont pas menacés par ailleurs.
Pour savoir si un produit de votre environnement est concerné, une solution temporaire et des étapes d’atténuation, ainsi que d’autres McAfee informations relatives aux produits de l’entreprise, consultez : SB10377-Registered-Bulletin de sécurité-McAfee produits de l’entreprise pour "Log4Shell" (CVE-2021-44228).
REMARQUE : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.
Les mises à jour continueront d’être fournies dès qu’elles seront disponibles.
Comment McAfee les solutions de produits d’entreprise ?
Il est toujours conseillé de veiller à ce que les logiciels et les systèmes d’exploitation soient mis à jour avec les mises à jour et les mises à jour de sécurité disponibles dès leur publication. McAfee Enterprise recommande également d’évaluer et de mettre en œuvre des contre-mesures générales contre les menaces d’entrée de gamme adaptées à votre environnement. Pour plus d’informations, voir : KB91836-contre-mesures pour les menaces de vecteurs d’entrée. La plupart de ces méthodes, qui ne corrigent pas la vulnérabilité, peuvent sérieusement empêcher les acteurs des fonctionnalités de post-exploitation et fournir une visibilité aux administrateurs de sécurité pour qu’ils puissent répondre de manière appropriée.
McAfee Enterprise évalue la couverture du produit dans notre portefeuille de solutions de sécurité. Cet article sera mis à jour à mesure que les possibilités de couverture possibles et les contre-mesures sont identifiées. Des
fonctionnalités de produit sont actuellement disponibles pour les composants suivants :
Détection et réponse :
Mise en œuvre de la règle ExtraDAT et prévention contre les exploits :
Exclude PROCESS_CMD_LINE { -v "* chcp 1252 *" }
Exclude PROCESS_CMD_LINE { -v "* ping 127.0.0.1*" }
Cela permet aux processus qui, sinon, déclenchent la règle à exclure en fonction des paramètres de ligne de commande spécifiés utilisés. La même action sans le paramètre spécifié déclencherait toujours la règle. Le paramètre de ligne de commande varie et doit être suffisamment unique pour ne pas exclure les événements inattendus. les administrateurs ePO peuvent se référer aux événements de menace de prévention contre les exploits Log4J dans leurs environnements pour déterminer les paramètres qui peuvent être nécessaires.
Remarque : En raison de la nature de la règle, les exclusions par processus seul ne sont pas bénéfiques, car seuls les processus prédéfinis sont inclus.
Section réaction : La première ligne de la règle, analyse de réaction ACTOR_PROCESS rapport ScanAction. Cette ligne indique à la prévention des exploits que lorsque le processus d’acteur a invoqué une cible, pour lancer une analyse de la mémoire du processus des processus concernés. Notez que toutes les réactions autres que rapport sont appliquées au processus d’acteur, qui peut être votre application vulnérable en cours d’exécution. Cela signifie que si la détection de TOMCAT est exploitée, le nettoyage peut s’appliquer àTOMCATxx.EXE lui-même. Il est conseillé de ne laisser la règle dans un rapport que et d’isoler le système à l’aide d’autres moyens (par exemple, la quarantaine EDR) en cas de détection. Mais plusieurs options sont disponibles pour les réactions. Il est conseillé de tester avant de procéder à la mise en œuvre.
Remarque : L’ExtraDAT fourni dans cet article a été mis à jour pour fournir des fonctionnalités améliorées le 21 décembre, 2021. Les clients qui ont appliqué l’ExtraDAT avant le 21 décembre doivent redéployer la nouvelle version améliorée (EXTRA2.zip ). Les modifications apportées à cet ExtraDAT autorisent les actions de nettoyage à être dirigées vers le processus cible sans impact sur le processus d’acteur parent. Par exemple, si Java.exe le lancement cmd.exe est dû à un exploit, la détection arrête le cmd.exe processus sans s’arrêter java.exe . Cela permet aux administrateurs de réagir et d’identifier le système tout en limitant les distruptions potentielles dans les applications de production.
Endpoint Security (ENS), VirusScan Enterprise (VSE), McAfee Web Gateway (MWG) :
Le 12 décembre 2021, McAfee Enterprise a publié le contenu V3AMCore 4648, MEDDAT 4818.0000et v2 dat 10196. Les détections génériques sont fournies sous le titre Exploit-CVE-2021-44228.C . Ces détections identifient l’utilisation de chaînes potentiellement malveillantes jndi:ldaps , jndi:ldap , jndi:rmi et jndi:dns de chaînes. Les détections sont représentées sous la forme d’un "programme potentiellement indésirable" et il est conseillé de passer en revue les stratégies afin de s’assurer que les analyseurs honorent les détections de programmes indésirables.
D’autres détections continuent d’être ajoutées, et il est conseillé aux clients de mettre à jour le contenu des terminaux et des passerelles à la fin de la cadence de distribution quotidienne de McAfee entreprises.
VSE : stratégie d’analyse à l’accès
Des détections sont également disponibles pour les échantillons associés aux campagnes sur le sauvage exploitant cette vulnérabilité. Il se peut que cette liste ne soit pas exhaustive et que les échantillons soient continuellement évalués pour la détection.
Les clients doivent veiller à ce que toutes les solutions reçoivent le contenu le plus récent à mesure qu’elles sont libérées, ce qui se produit au cours d’une cadence quotidienne. Cette opération permet de s’assurer que la couverture est ajoutée, mais elle est rendue disponible pour assurer la protection.
McAfee Web Gateway (MWG) :
MWG Classic 10.2 et les versions ultérieures peuvent identifier et bloquer les modèles de recherche JNDI malveillants qui déclenchent la vulnérabilité Log4Shell via le jeu de règles "la recherche de Log4Shell" (disponible dans la section pièces jointes de cet article). Cela fonctionne pour les demandes, mais l’avantage est le suivant :
Décisionnel face aux menaces :
Une multitude de méthodes ont été observées lorsque les attaquants utilisaient Log4Shell. Il existe un large éventail de cette vulnérabilité, et la seule manière la plus simple d’ensemencer des risques, est d’appliquer les mises à jour fournisseur et de passer en revue les configurations application. Ces actions permettent de s’assurer que la vulnérabilité est atténuée en fonction des recommandations de Apache. Comme pour tous les principaux zéro jour, la meilleure approche en matière de sécurité est de supposer que vous avez déjà été analysé, que vous êtes ciblé et que vous appliquez des mesures de correction ou d’atténuation avec une priorité absolue. McAfee Enterprise travaille de façon permanente pour assurer la couverture de cette menace et de s’assurer que les administrateurs de la sécurité sont activés lors de leurs investigations lors de l’évaluation de leur environnement.
Les produits d’entreprise McAfee-ils concernés par cette vulnérabilité ?
McAfee Enterprise examine tous les produits de notre portefeuille pour évaluer l’impact potentiel et les risques pour les clients. Le 13 décembre 2021, McAfee Enterprise publiait un bulletin de sécurité formel pour fournir des conseils aux clients sur les produits concernés par cette vulnérabilité. L’objectif était de hiérarchiser les produits qui n’incluent pas le composant log4j ou qui ne sont pas menacés par ailleurs.
Pour savoir si un produit de votre environnement est concerné, une solution temporaire et des étapes d’atténuation, ainsi que d’autres McAfee informations relatives aux produits de l’entreprise, consultez : SB10377-Registered-Bulletin de sécurité-McAfee produits de l’entreprise pour "Log4Shell" (CVE-2021-44228).
REMARQUE : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.
Les mises à jour continueront d’être fournies dès qu’elles seront disponibles.
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Comment McAfee les solutions de produits d’entreprise ?
Il est toujours conseillé de veiller à ce que les logiciels et les systèmes d’exploitation soient mis à jour avec les mises à jour et les mises à jour de sécurité disponibles dès leur publication. McAfee Enterprise recommande également d’évaluer et de mettre en œuvre des contre-mesures générales contre les menaces d’entrée de gamme adaptées à votre environnement. Pour plus d’informations, voir : KB91836-contre-mesures pour les menaces de vecteurs d’entrée. La plupart de ces méthodes, qui ne corrigent pas la vulnérabilité, peuvent sérieusement empêcher les acteurs des fonctionnalités de post-exploitation et fournir une visibilité aux administrateurs de sécurité pour qu’ils puissent répondre de manière appropriée.
McAfee Enterprise évalue la couverture du produit dans notre portefeuille de solutions de sécurité. Cet article sera mis à jour à mesure que les possibilités de couverture possibles et les contre-mesures sont identifiées. Des
fonctionnalités de produit sont actuellement disponibles pour les composants suivants :
Détection et réponse :
Endpoint Security (ENS) ExtraDAT, règle de processus expert déclencheur d’analyse de la mémoire :
Pour plus d’informations sur cette approche de la couverture, reportez-vous au McAfee Enterprise log4j et à la mémoire qui connaît un billet trop grand .
Pour plus d’informations sur cette approche de la couverture, reportez-vous au McAfee Enterprise log4j et à la mémoire qui connaît un billet trop grand .
McAfee entreprise a développé une solution qui permet aux administrateurs d’identifier et de répondre aux tentatives actives de exploit CVE-2021-44228 dans leur environnement. Cette solution est une approche à deux volets. En tirant parti de la capacité des règles expert ENS dans les versions 10.7.0 2020 de novembre (notes de publication) et versions ultérieures, pour réagir aux déclencheurs, il faut appeler une analyse de mémoire à la demande du processus cible. Cette approche nécessite que deux conditions préalables soient appliquées au poste client.
- Vous devez appliquer l' ExtraDAT fourni dans la section des pièces jointes de cet article afin de fournir du contenu pour les analyses de mémoire à la demande afin de détecter
JNDI les chaînes associées dans la mémoire de processus.
Important : Le 21 décembre, un nouvel ExtraDAT a été ajouté à cet article dans l’archiveEXTRA2.zip . Pour plus d’informations, reportez-vous à la section "réglage de la règle expert pour votre environnement" section ci-dessous.
- Vous devez mettre en œuvre la règle expert dans votre stratégie de prévention contre les exploits Endpoint Security et la définir sur signaler uniquement. La règle expert ne fournit pas suffisamment de protection pour être utile dans le cadre d’une capacité de blocage, ce qui risque de provoquer un conflit avec les processus légitimes de votre environnement. Si vous définissez la règle sur rapport uniquement, assurez-vous qu’elle déclenche les analyses de mémoire à la demande lorsque la règle est enfreinte, sans risque de bloquer les blocs inattendus.
REMARQUES :
- Il est important que cette configuration soit minutieusement testée pour garantir l’intégrité des règles et éviter tout conflit potentiel. Une fois que les tests confirment que la règle est viable pour votre environnement, les clients sont encouragés à appliquer ce mécanisme aux plates-formes Windows Server auxquelles les applications Java sont potentiellement exposées à la connectivité réseau à partir d’Internet. Par exemple, Apache Tomcat, des serveurs de recherche élastiques. Cela réduit la probabilité de faux positifs et les mesures de réglage supplémentaires que ces résultats peuvent nécessiter. Client : n’est pas recommandé d’appliquer ce contenu aux postes de travail des utilisateurs généraux Windows.
- McAfee Enterprise examine également les options permettant de mettre ce contenu à la disposition des clients MVISION. Abonnez-vous à cet article pour être informé de la mise à jour des mises à jour.
- Cette configuration entraîne la génération de deux événements lorsqu’un comportement potentiellement malveillant est détecté. La première détection reflète le déclencheur de la règle de prévention contre les exploits. La seconde détection reflète l’analyse de la mémoire à la demande qui détecte un comportement potentiellement malveillant. Si seul le premier événement est reçu, l’analyse de la mémoire n’a identifié aucune chaîne malveillante
JNDI dans la mémoire du processus. Si le deuxième événement est reçu, indiquant que l’analyse de la mémoire à la demande a détecté uneJNDI chaîne associée dans la mémoire du processus, les administrateurs doivent prendre des mesures immédiates sur le système identifié. - L’image ci-dessous illustre les deux types de menaces de détection possibles. Notez le type
Trojan de menace, avec l’analyse à la demande du processus source de la menace. Ce type d’événement est l’événement de deuxième étape et indique que les administrateurs doivent prendre des mesures immédiates.
Mise en œuvre de la règle ExtraDAT et prévention contre les exploits :
- Archivez le fichier ExtraDAT dans ePO à l’aide de la fonction’archiver le package’de la page référentiel maître. Ou, pour les tests ou les postes clients non managés, appliquez le fichier ExtraDAT à l’aide de la console ENS.
Pour plus d’informations, reportez-vous à l' article : article kb67602-comment archiver et déployer un fichier extra .DAT dans ePolicy Orchestrator et KB93673-application locale supplémentaire .DAT à l’aide de la client Endpoint Security.
Une fois l’archivage effectué, l’ExtraDAT reflète le nom suivant dans le référentiel maître et dans les tâches client.
Remarque : McAfee Enterprise offre un outil permettant de fusionner des ExtraDATs sur le portail de support si vous recevez un autre pilote supplémentaire qui doit être appliqué à votre environnement.
- Assurez-vous que les tâches de mise à jour client vers les postes clients incluent le type de package ExtraDAT, et que ces mises à jour sont appliquées aux systèmes. Une fois que l’ExtraDAT est déployé sur les systèmes censés recevoir la règle d’expert, poursuivez la modification de vos stratégies à l’étape 3.
- Pour configurer la règle de l’expert, accédez à votre Endpoint Security, stratégie prévention contre les exploits . Ajoutez une règle d’expert configurée avec les paramètres suivants :
Nom de la règle Exploit Log4J JNDI Gravité Elevée Action Rapport Type de règle Processus - Appliquez le contenu de règle suivant à la règle :
Rule {
Reaction SCAN ACTOR_PROCESS ScanAction REPORT
Process {
Include OBJECT_NAME {
-v "java.exe"
-v "javaw.exe"
-v "tomcat*.exe"
}
Include AggregateMatch -xtype "dll1" {
Include DLL_LOADED -name "java" { -v 0x1 }
}
Include AggregateMatch -xtype "dll2" {
Include DLL_LOADED -name "jvm" { -v 0x1 }
}
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "cmd.exe" }
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
Include OBJECT_NAME { -v "wscript.exe" }
Include OBJECT_NAME { -v "cscript.exe" }
Include OBJECT_NAME { -v "rundll32.exe" }
Exclude PROCESS_CMD_LINE { -v "* chcp 1252 *" }
}
}
} -
Enregistrez la règle et la stratégie modifiées. Appliquez-le aux postes clients ayant reçu le contenu ExtraDAT approprié.
Réglage de la règle de l’expert pour votre environnement :
La règle de l’expert est conçue pour déclencher une analyse à la demande ciblée (ODS). La règle n’indique pas qu’une menace est présente sur le (s) système (s). Vous pouvez ignorer en toute sécurité les événements de prévention contre les exploits Log4J qui ne sont pas suivis d’un événement de détection ODS. Un grand nombre de ces événements de prévention contre les exploits peut être généré par des opérations normales et n’indiquent pas un faux positif, étant donné que les critères de règle étaient remplis pour déclencher la tâche ODS. Pour gérer les événements, reportez-vous à la section planification "purger le journal des événements de menace" section du 5.10 Guide produitd’EPO.
Cette approche a pour avantage d’invoquer une analyse de mémoire ODS ciblée basée sur le déclencheur de règle expert. Par conséquent, d’autres exclusions ne doivent pas être nécessaires et peuvent réduire l’efficacité ODS de la règle. Toutefois, vous pouvez affiner la règle expert pour votre environnement. Le réglage de la règle garantit que ENS analyse uniquement la mémoire des processus lorsque cela est nécessaire. Assurez-vous que la règle est appliquée aux systèmes contenant des applications potentiellement vulnérables via l’affectation de stratégie ciblée et le groupement de systèmes ePO. Cette action peut empêcher toute couverture inutile et vous pouvez affiner la règle pour ignorer le comportement de application naturel.
Pour connaître les règles des experts vidéos de formation, voir : KB89677-vidéos de formation sur les règles d’experts. Pour l’instruction Support technique pour les règles personnalisées avec ENS, reportez-vous à la section : KB94889-support Statement for Custom Rules with Endpoint Security. Si vous modifiez la règle telle qu’elle est indiquée dans cet article, assurez-vous de valider et de mettre en œuvre la règle expert sur un système client avant d’appliquer la stratégie dans ePO. Pour plus d’informations, reportez-vous à la section "validation et mise en œuvre d’une règle expert sur un système client" section du 10.7 Guide produitens.
La règle de l’expert est conçue pour déclencher une analyse à la demande ciblée (ODS). La règle n’indique pas qu’une menace est présente sur le (s) système (s). Vous pouvez ignorer en toute sécurité les événements de prévention contre les exploits Log4J qui ne sont pas suivis d’un événement de détection ODS. Un grand nombre de ces événements de prévention contre les exploits peut être généré par des opérations normales et n’indiquent pas un faux positif, étant donné que les critères de règle étaient remplis pour déclencher la tâche ODS. Pour gérer les événements, reportez-vous à la section planification "purger le journal des événements de menace" section du 5.10 Guide produitd’EPO.
Cette approche a pour avantage d’invoquer une analyse de mémoire ODS ciblée basée sur le déclencheur de règle expert. Par conséquent, d’autres exclusions ne doivent pas être nécessaires et peuvent réduire l’efficacité ODS de la règle. Toutefois, vous pouvez affiner la règle expert pour votre environnement. Le réglage de la règle garantit que ENS analyse uniquement la mémoire des processus lorsque cela est nécessaire. Assurez-vous que la règle est appliquée aux systèmes contenant des applications potentiellement vulnérables via l’affectation de stratégie ciblée et le groupement de systèmes ePO. Cette action peut empêcher toute couverture inutile et vous pouvez affiner la règle pour ignorer le comportement de application naturel.
Pour connaître les règles des experts vidéos de formation, voir : KB89677-vidéos de formation sur les règles d’experts. Pour l’instruction Support technique pour les règles personnalisées avec ENS, reportez-vous à la section : KB94889-support Statement for Custom Rules with Endpoint Security. Si vous modifiez la règle telle qu’elle est indiquée dans cet article, assurez-vous de valider et de mettre en œuvre la règle expert sur un système client avant d’appliquer la stratégie dans ePO. Pour plus d’informations, reportez-vous à la section "validation et mise en œuvre d’une règle expert sur un système client" section du 10.7 Guide produitens.
Il existe trois sections principales de la règle sur lesquelles vous devez vous concentrer.
Processus de l' acteur : Tous les processus que la règle d’expert est censé surveiller. Cette section comprend application fichiers exécutables qui tirent parti de Java ou qui peuvent contenir log4j. Cette section permet à la règle expert de surveiller son activité en cas d’appels potentiels à la section cible.
Section cible : Inclut tous les fichiers binaires susceptibles d’être considérés comme suspects en cas de démarrage à partir du processus de l’acteur. La règle expert compare les détails avec les vecteurs d’attaque sans fichier courants tels que'wscript.exe 'et' powershell.exe '. Si le processus d’acteur invoque un fichier binaire répertorié dans la section cible, la règle expert se résout en section réaction.
Vous pouvez exclure les activités de processus légitimes par les paramètres de ligne de commande utilisés lors de l’exécution du processus en ajoutant une ligne telle que la suivante à la section cible de la règle.
Exemples :
Section cible : Inclut tous les fichiers binaires susceptibles d’être considérés comme suspects en cas de démarrage à partir du processus de l’acteur. La règle expert compare les détails avec les vecteurs d’attaque sans fichier courants tels que'
Vous pouvez exclure les activités de processus légitimes par les paramètres de ligne de commande utilisés lors de l’exécution du processus en ajoutant une ligne telle que la suivante à la section cible de la règle.
Exemples :
Exclude PROCESS_CMD_LINE { -v "* ping 127.0.0.1*" }
Cela permet aux processus qui, sinon, déclenchent la règle à exclure en fonction des paramètres de ligne de commande spécifiés utilisés. La même action sans le paramètre spécifié déclencherait toujours la règle. Le paramètre de ligne de commande varie et doit être suffisamment unique pour ne pas exclure les événements inattendus. les administrateurs ePO peuvent se référer aux événements de menace de prévention contre les exploits Log4J dans leurs environnements pour déterminer les paramètres qui peuvent être nécessaires.
Remarque : En raison de la nature de la règle, les exclusions par processus seul ne sont pas bénéfiques, car seuls les processus prédéfinis sont inclus.
Section réaction : La première ligne de la règle, analyse de réaction ACTOR_PROCESS rapport ScanAction. Cette ligne indique à la prévention des exploits que lorsque le processus d’acteur a invoqué une cible, pour lancer une analyse de la mémoire du processus des processus concernés. Notez que toutes les réactions autres que rapport sont appliquées au processus d’acteur, qui peut être votre application vulnérable en cours d’exécution. Cela signifie que si la détection de TOMCAT est exploitée, le nettoyage peut s’appliquer à
Remarque : L’ExtraDAT fourni dans cet article a été mis à jour pour fournir des fonctionnalités améliorées le 21 décembre, 2021. Les clients qui ont appliqué l’ExtraDAT avant le 21 décembre doivent redéployer la nouvelle version améliorée (
CLEAN_PROCESS -Tentative de nettoyage du processus. La détection est consignée dans le journal d’activité de l’analyse à la demande.DELETE_PROCESS -Tentative de suppression du processus. La détection est consignée dans le journal d’activité de l’analyse à la demande.CLEAN_DELETE_PROCESS -Essayez d’abord de nettoyer le processus, en cas d’échec, essayez de supprimer le processus. La détection est consignée dans le journal d’activité de l’analyse à la demande.REPORT -Aucune action n’est effectuée sur le processus détecté. La détection est consignée dans le journal d’activité de l’analyse à la demande et un événement de détection est envoyé à ePO.REPORT_CLEAN_PROCESS -Tentative de nettoyage du processus. La détection est consignée dans le journal d’activité de l’analyse à la demande et un événement de détection est envoyé à ePO.REPORT_DELETE_PROCESS -Tentative de suppression du processus. La détection est consignée dans le journal d’activité de l’analyse à la demande et un événement de détection est envoyé à ePO.REPORT_CLEAN_DELETE_PROCESS -Essayez d’abord de nettoyer le processus, en cas d’échec, essayez de supprimer le processus. La détection est consignée dans le journal d’activité de l’analyse à la demande et un événement de détection est envoyé à ePO.
Le 12 décembre 2021, McAfee Enterprise a publié le contenu V3
D’autres détections continuent d’être ajoutées, et il est conseillé aux clients de mettre à jour le contenu des terminaux et des passerelles à la fin de la cadence de distribution quotidienne de McAfee entreprises.
Activation des détections de programmes indésirables :
ENS : stratégie d’analyse à l’accès, paramètres de processus (Assurez-vous que le paramètre est réglé pour tous les profils de risque, le cas échéant).
ENS : stratégie d’analyse à l’accès, paramètres de processus (Assurez-vous que le paramètre est réglé pour tous les profils de risque, le cas échéant).
VSE : stratégie d’analyse à l’accès
Des détections sont également disponibles pour les échantillons associés aux campagnes sur le sauvage exploitant cette vulnérabilité. Il se peut que cette liste ne soit pas exhaustive et que les échantillons soient continuellement évalués pour la détection.
| Hachage | Nom de détection |
|---|---|
| 0579a8907f34236b754b07331685d79e | Linux/noir-T. a |
| 07b7746b922cf7d7fa821123a226ed36 | Linux/Coinminer. BL |
| 648effa354b3cbaad87b45f48d59c616 | LINUX/Kinsing. a |
| ccef46c7edf9131ccffc47bd69eb743b | LINUX/Downloader. bb |
| 09c5608ec058a3f1d995a4340b5d204b | Exploit-CVE-2021-44228.d |
| 671182fa65c043c5643aca73a2827553 | Exploit-CVE-2021-44228. d |
| 0af9f06338c94bc026787a85d06af5ac | Exploit-CVE-2021-44228. d |
| 2b4303e6a9346781bd70f32290f97d4f | Exploit-CVE-2021-44228. d |
| 751249af62035965a26ab90ff9c652f2 | Exploit-CVE-2021-44228. d |
| eab89d2f9511d79a7ea10477320b93bd | Exploit-CVE-2021-44228. d |
| e29b1df3acaa1dd701fa123e362ab52d | Exploit-CVE-2021-44228. d |
| b8519db943405027127c8a8b919fde9e0c5f9c9f | BAT/Agent. BP |
| f43a96d6970e8252894d6a53c6858bf2ab75149f | BAT/Agent. BP |
| 716167b08e01e9c5919b8e8458e59e8e9ad68826 | BAT/Agent. BS |
| c927738922b87802cc75697dd99dd8c7d8cfdf1e | Linux/noir-T. a |
| 8611063eefa5cc2bbec29870fb56779192eed454 | Linux/noir-T. a |
| bf2df8f2813ef4e2cf61ea193e091b808aa854c7 | Linux/Coinminer. BL |
| ffe3dda2486083d0b26f1c64ac300923088e01df | Linux/Coinminer. BL |
| 38c56b5e1489092b80c9908f04379e5a16876f01 | LINUX/Downloader. bb |
| 8654b19a3fd4e3e571cc84c0c3990669c04e3558 | Linux/portails |
| 0194637f1e83c2efc8bcda8d20c446805698c7bc | LINUX/Kinsing. a |
| 296273fd9965bf41d8d3970c766158c7f24fc618 | LINUX/tsunami. u |
| 61586a0c47e3ae120bb53d73e47515da4deaefbb | LINUX/tsunami. u |
| 43c1c41fdb133c3f9c25edcdff16e229ac31f42b | LINUX/tsunami. u |
| 335d6b7d76d2918ef133fe9d4735ae201616323b | LINUX/tsunami. u |
| e3eb1e98ca477918154b9ed7bcc2b7fe757c1020 | LINUX/tsunami. u |
| fd91820560d2e0aa7079d7c7756e343e66f47056 | LINUX/tsunami. v |
| 82d984fcbf4f8bc8ffbad29e3f3cc4cfac70d8d4 | LINUX/tsunami. v |
| b21aa1107ecc79f4ad29f68a026a02e2abc952ef | LINUX/tsunami. v |
| 0c876245dfdeb17c0ad472b0356cd5658b384f6a | LINUX/tsunami. v |
| edcacb6b71a0a66736f8b3dd55aaae371e4171b8 | LINUX/tsunami. v |
| e121d1050bf62a94adfde406325e70a7878b3ed8 | LINUX/tsunami. v |
| 3c7a4da4190ceac25f28719794e2b9e6d62105c1 | LINUX/tsunami. v |
| 2e75071855d7f1c78eed2e6e971e763451c6298c | LINUX/tsunami. v |
| 237315820fe77880e892d5c30b2f5fde7e5f6d64 | LINUX/tsunami. v |
| 7c1808a5296ece6400e4ec558b9ef0d82e0f23b0 | LINUX/tsunami. v |
| 5008672d6f47a444c743455346e0b04eef257b30 | LINUX/tsunami. v |
| 74402152ac0f0c9dfed6f76975080ce1d0d4584d | Linux-coinminer. d |
| 18791de615208b29809e840771e11ac8c3b5ed7b | PS/Reverseshell. a |
| 0d4404b132e6e297974eca391f176a047ad7ed73 | PUP-XOK-HR |
| cef612c5c042cceddff8b6b8bc573bb0af46a208 | GenericRXNV-AC!F5271F6B20FD |
| 9147d834f4cb7047a6e6ab96565868c6fede373e | Programme de téléchargement RDN/générique. x |
| 95d9a068529dd2ea4bb4bef644f5c4f5 | RDN/Generic. DX |
| 18cc66e29a7bc435a316d9c292c45cc6 | W64/CoinMiner |
| 0BB39BA78FC976EDB9C26DE1CECD60EB | Linux/Tsunami!0BB39BA78FC9 |
| 0F7C2DD019AFCC092FD421EE52431AFF | JAVA/Agent. f |
| 1348A00488A5B3097681B6463321D84C | Linux/Log4Shell |
| 163E03B99C8CB2C71319A737932E9551 | Coinminer.cp |
| 1780D9AAF4C048AD99FA93B60777E3F9 | Coinminer. CP |
| 194DB367FBB403A78D63818C3168A355 | W64/CoinMiner |
| 1CF9B0571DECFF5303EE9FE3C98BB1F1 | Coinminer. CP |
| 1E051111C4CF327775DC3BAB4DF4BF85 | BAT/Downloader. ax |
| 1FE52C0B0139660B2335DD7B7C12EA05 | LINUX/Coinminer. cl |
| 20DF80B56B1B6FFC8CA49F8AD3AB7B81 | Linux/Mirai!20DF80B56B1B |
| 39FC2CEE0A2BEA3EE9A065F6955FFD43 | Java/Agent!39FC2CEE0A2B |
| 51E052EB6032D11B3093FECB901870EA | Linux/Mirai!51E052EB6032 |
| 7B8CE524AE078A76A69548AEBB95CB7E | Java/Agent principal .class . i |
| 844864C45816B10356B730F450BD7037 | Linux/Mirai!844864C45816 |
| 963B4F516B86C9D8B30BEFE714CEDB22 | Linux/Downloader. BV |
| AB80C03C460BD3D6A631FD0CEDDDEF49 | Linux/Mirai!AB80C03C460B |
| C6E8E6BB0295437FB790B1151A1B107E | Linux/Mirai!C6E8E6BB0295 |
| C717C47941C150F867CE6A62ED0D2D35 | W64/CoinMiner |
| D766BD832973A991C5894A3521C9815E | Linux/Mirai!D766BD832973 |
| F14019C55E7CE19D93838A4B2F6AEC12 | BAT/Downloader. ax |
| F5271F6B20FDA39C213FD9579AD7E1FB | Linux/Tsunami!F5271F6B20FD |
| F65F547869CA35A8E2902C4DEC0DD97F | LINUX/Coinminer. CB |
| F8ED43117DFB995F4B9D88F566394BA4 | CVE-2021-44228!F8ED43117DFB |
Les clients doivent veiller à ce que toutes les solutions reçoivent le contenu le plus récent à mesure qu’elles sont libérées, ce qui se produit au cours d’une cadence quotidienne. Cette opération permet de s’assurer que la couverture est ajoutée, mais elle est rendue disponible pour assurer la protection.
McAfee Web Gateway (MWG) :
MWG Classic 10.2 et les versions ultérieures peuvent identifier et bloquer les modèles de recherche JNDI malveillants qui déclenchent la vulnérabilité Log4Shell via le jeu de règles "la recherche de Log4Shell" (disponible dans la section pièces jointes de cet article). Cela fonctionne pour les demandes, mais l’avantage est le suivant :
- Lors de l’utilisation de MWG comme proxy inverse, les systèmes situés derrière lui sont protégés contre les exploits Log4Shell dans les en-têtes HTTP et le corps (GAM détecte exploit modèles dans une demande POST à l’aide des dernières mises à jour de fichiers DAT).
- Lors de l’utilisation de MWG comme proxy de transfert, les attaques provenant de votre réseau avec une demande POST via le proxy seront bloquées.
Pour appliquer/importer le jeu de règles :
- Placez le Définissez
2021-12-13_10-50_Search for Log4Shell.xml de règles (disponible dans la section pièces jointes de cet article) sur le bureau. - Cliquez sur Ajouter , puis sur jeu de règles de premier niveau.
- Cliquez sur importer le jeu de règles à partir de la bibliothèque de jeux de règles.
- Cliquez sur Importer à partir d’un fichier.
- Sélectionnez le fichier.
- Résoudre tous les conflits.
- Cliquez sur OK.
- Déplacez le jeu de règles vers un emplacement approprié dans la stratégie, idéalement où l’analyse SSL est activée.
- Cliquez sur Enregistrer les modifications.
UCE et MWG peuvent également vous protéger contre le téléchargement de fichiers de classe Java. L’approche la plus simple consiste à bloquer complètement le type de média "application/Java-VM" (détecté dans la catégorie de type de média "exécutables"). Si le téléchargement de fichiers de classe légitime doit être autorisé, il est conseillé d’octroyer un accès par adresse IP ou domaine. Reportez-vous au fichier 2021-12-20_15-16_Block Java Class Files.xml (disponible dans la section des pièces jointes de cet article) pour MWG. Pour importer le jeu de règles, suivez les étapes similaires ci-dessus. Dans le spam, vous pouvez facilement créer un jeu de règles similaire via l’interface utilisateur de la stratégie.
Signature définie par l’utilisateur de Network Security Platform (NSP) : Les signatures définies par l’utilisateur (UDS) sont fournies en tant que solution immédiate aux vulnérabilités connues.
Pour plus d’informations sur cette UDS, reportez-vous à l’article : KB55447-Registered-Network Security Platform versions de signatures définies par l’utilisateur.
Pour plus d’informations sur cette UDS, reportez-vous à l’article : KB55447-Registered-Network Security Platform versions de signatures définies par l’utilisateur.
REMARQUE : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.
- Signature définie par l’utilisateur : KB95092-Registered--uds Emergency d’urgence notes de publication-uds-http : Apache Log4j2 vulnérabilité d’exécution de code à distance (CVE-2021-44228)
- ID d’attaque : Automatiquement affecté
- Protocole d’attaque : HTTP
- Sens de l' attaque : Client vers serveur
- A-t-il été inclus dans la prochaine sigset régulière ? Oui
- Date de publication : 12 décembre 2021
- Description : Cette alerte indique une tentative de exploit une vulnérabilité de type exécution de code à distance dans Apache log4j 2.
Chasse, évaluation des vulnérabilités et investigation :
- Mvision Endpoint Detection and Response (EDR), McAfee Active Response (Mar) :
Vous pouvez utiliser les fonctionnalités'Real-Time Search 'et'Historical Search 'pour rechercher de manière proactive des systèmes vulnérables ou exploit activité au sein de votre environnement.
McAfee entreprise tient à niveau un référentiel GitHub de requêtes utilesReal-Time Search que les administrateurs peuvent trouver pour les aider à effectuer leur investigation. Pour plus d’informations, voir McAfee requêtes RTS de l’entreprise GitHub.
Les collecteurs intégrés permettent de rechercher les éléments suivants :
Une auto-évaluation des versions vulnérables signalées de log4j par hachage peut être effectuée avec une requête de base. Par exemple :
HostInfo os, hostname, platform
AND Files sha256, full_name
WHERE HostInfo platform equals "Linux"
AND Files sha256 equals "bf4f41403280c1b115650d470f9b260a5c9042c04d9bcc2a6ca504a66379b2d6"
OR Files sha256 equals "bf4f41403280c1b115650d470f9b260a5c9042c04d9bcc2a6ca504a66379b2d6"
OR Files sha256 equals "58e9f72081efff9bdaabd82e3b3efe5b1b9f1666cefe28f429ad7176a6d770ae"
OR Files sha256 equals "ed285ad5ac6a8cf13461d6c2874fdcd3bf67002844831f66e21c2d0adda43fa4"
OR Files sha256 equals "dbf88c623cc2ad99d82fa4c575fb105e2083465a47b84d64e2e1a63e183c274e"
OR Files sha256 equals "a38ddff1e797adb39a08876932bc2538d771ff7db23885fb883fec526aff4fc8"
OR Files sha256 equals "7d86841489afd1097576a649094ae1efb79b3147cd162ba019861dfad4e9573b"
OR Files sha256 equals "4bfb0d5022dc499908da4597f3e19f9f64d3cc98ce756a2249c72179d3d75c47"
OR Files sha256 equals "473f15c04122dad810c919b2f3484d46560fd2dd4573f6695d387195816b02a6"
OR Files sha256 equals "b3fae4f84d4303cdbad4696554b4e8d2381ad3faf6e0c3c8d2ce60a4388caa02"
OR Files sha256 equals "dcde6033b205433d6e9855c93740f798951fa3a3f252035a768d9f356fde806d"
OR Files sha256 equals "85338f694c844c8b66d8a1b981bcf38627f95579209b2662182a009d849e1a4c"
OR Files sha256 equals "db3906edad6009d1886ec1e2a198249b6d99820a3575f8ec80c6ce57f08d521a"
OR Files sha256 equals "ec411a34fee49692f196e4dc0a905b25d0667825904862fdba153df5e53183e0"
OR Files sha256 equals "a00a54e3fb8cb83fab38f8714f240ecc13ab9c492584aa571aec5fc71b48732d"
OR Files sha256 equals "c584d1000591efa391386264e0d43ec35f4dbb146cad9390f73358d9c84ee78d"
OR Files sha256 equals "8bdb662843c1f4b120fb4c25a5636008085900cdf9947b1dadb9b672ea6134dc"
OR Files sha256 equals "c830cde8f929c35dad42cbdb6b28447df69ceffe99937bf420d32424df4d076a"
OR Files sha256 equals "6ae3b0cb657e051f97835a6432c2b0f50a651b36b6d4af395bbe9060bb4ef4b2"
OR Files sha256 equals "535e19bf14d8c76ec00a7e8490287ca2e2597cae2de5b8f1f65eb81ef1c2a4c6"
OR Files sha256 equals "42de36e61d454afff5e50e6930961c85b55d681e23931efd248fd9b9b9297239"
OR Files sha256 equals "4f53e4d52efcccdc446017426c15001bb0fe444c7a6cdc9966f8741cf210d997"
OR Files sha256 equals "df00277045338ceaa6f70a7b8eee178710b3ba51eac28c1142ec802157492de6"
OR Files sha256 equals "28433734bd9e3121e0a0b78238d5131837b9dbe26f1a930bc872bad44e68e44e"
OR Files sha256 equals "cf65f0d33640f2cd0a0b06dd86a5c6353938ccb25f4ffd14116b4884181e0392"
OR Files sha256 equals "5bb84e110d5f18cee47021a024d358227612dd6dac7b97fa781f85c6ad3ccee4"
OR Files sha256 equals "ccf02bb919e1a44b13b366ea1b203f98772650475f2a06e9fac4b3c957a7c3fa"
OR Files sha256 equals "815a73e20e90a413662eefe8594414684df3d5723edcd76070e1a5aee864616e"
OR Files sha256 equals "10ef331115cbbd18b5be3f3761e046523f9c95c103484082b18e67a7c36e570c"
OR Files sha256 equals "dc815be299f81c180aa8d2924f1b015f2c46686e866bc410e72de75f7cd41aae"
OR Files sha256 equals "9275f5d57709e2204900d3dae2727f5932f85d3813ad31c9d351def03dd3d03d"
OR Files sha256 equals "f35ccc9978797a895e5bee58fa8c3b7ad6d5ee55386e9e532f141ee8ed2e937d"
OR Files sha256 equals "5256517e6237b888c65c8691f29219b6658d800c23e81d5167c4a8bbd2a0daa3"
OR Files sha256 equals "d4485176aea67cc85f5ccc45bb66166f8bfc715ae4a695f0d870a1f8d848cc3d"
OR Files sha256 equals "3fcc4c1f2f806acfc395144c98b8ba2a80fe1bf5e3ad3397588bbd2610a37100"
OR Files sha256 equals "057a48fe378586b6913d29b4b10162b4b5045277f1be66b7a01fb7e30bd05ef3"
OR Files sha256 equals "5dbd6bb2381bf54563ea15bc9fbb6d7094eaf7184e6975c50f8996f77bfc3f2c"
OR Files sha256 equals "c39b0ea14e7766440c59e5ae5f48adee038d9b1c7a1375b376e966ca12c22cd3"
OR Files sha256 equals "6f38a25482d82cd118c4255f25b9d78d96821d22bab498cdce9cda7a563ca992"
OR Files sha256 equals "54962835992e303928aa909730ce3a50e311068c0960c708e82ab76701db5e6b"
OR Files sha256 equals "e5e9b0f8d72f4e7b9022b7a83c673334d7967981191d2d98f9c57dc97b4caae1"
OR Files sha256 equals "68d793940c28ddff6670be703690dfdf9e77315970c42c4af40ca7261a8570fa"
OR Files sha256 equals "9da0f5ca7c8eab693d090ae759275b9db4ca5acdbcfe4a63d3871e0b17367463"
OR Files sha256 equals "006fc6623fbb961084243cfc327c885f3c57f2eba8ee05fbc4e93e5358778c85"
Hachages de fichier pour les versions log4j 2.x provenant de GitHub.
Identifiez les systèmes sur lesquels des versions vulnérables de log4j installées par nom de fichier. Par exemple : Files and HostInfo hostname dont le nom de fichier contient log4j.Les noms de fichier peuvent différer d’une version à l’autre ou si log4j est fourni via une solution de fournisseur.
Identifiez les tentatives de communication sortantes vers des domaines de légende connus.
Identifiez les indicateurs de compromission (IOC) associés à des charges utiles exploit.
Remarque : Sur Linux, par défaut,.JAR les fichiers sont exclus du hachage de fichier. Pour obtenir une visibilité précise de votre environnement, supprimez.JAR du hachage de fichierde stratégies EDR, ignorez les Extensions sur les paramètres Linux. Cette modification ne nécessite pas que les systèmes de fichiers soient entièrement hachés.
- Mcafee Siem
McAfee entreprise a publié la version 4.1.0 du pack d’exploitation exploit, qui est désormais disponible pour téléchargement à partir du serveur de règles. Ce pack de contenu contient une nouvelle alarme appelée "exploit-possibilité d’exploit Log4Shell". Cette alarme examine les champs d’URL et de User_Agent pour que la chaîne spécifiquejndi indique une tentative de exploit possible.
Pour plus d’informations sur SIEM exploit Content Pack 4.1.0 , reportez-vous à l’adresse : KB85403-Registered-packs de contenu Siem pour exploit.
REMARQUE : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.
Décisionnel face aux menaces :
- Insights MVISION :
Campagne de menace : Log4Shell-une vulnérabilité liée à log4j-CVE-2021-44228 (disponible dans aperçu d’Insights)
