Apresentando as versões 7.16.2 e 6.8.22 do Elasticsearch e Logstash para atualizar o Apache Log4j2

 

Temos o prazer de anunciar as novas versões do Elasticsearch e Logstash, 7.16.2 e 6.8.22, para atualizar para a versão mais recente do Apache Log4j e abordar preocupações com falsos positivos com alguns scanners de vulnerabilidade. Elastic também mantém atualizações contínuas por meio de nossa consultoria para garantir que nossos clientes Elastic e nossas comunidades possam se manter atualizados sobre os desenvolvimentos mais recentes.

O dia 10 de dezembro começou com a divulgação pública da vulnerabilidade do Apache Log4j - CVE-2021-44228 afetando a popular estrutura de registro de código aberto adotada por vários aplicativos comerciais e personalizados baseados em Java. Esta vulnerabilidade, afetando as versões 2.0-beta9 a 2.14.1 do Log4j2, e já está sendo explorada por atacantes e grupos de ransomware, como APT35 e Hafnium. Uma pesquisa do Google usando Open Source Insights estima que mais de 35.000 pacotes (mais de 8% do repositório Maven Central) foram afetados pelas vulnerabilidades divulgadas recentemente, em 16 de dezembro.

Apache Log4j lançou uma correção para esta vulnerabilidade inicial no Log4j versão 2.15.0. No entanto, a correção estava incompleta e resultou em uma vulnerabilidade potencial de DoS e exfiltração de dados, registrada como CVE-2021-45046. Esta nova vulnerabilidade foi corrigida no Log4j2 versão 2.16.0. No entanto, a própria versão 2.16.0 também foi considerada vulnerável a outra vulnerabilidade DoS, levando a um novo CVE-2021-45105 e o eventual lançamento do Apache Log4j2 versão 2.17.0.

Apresentando Elasticsearch 7.16.2 e Logstash 6.8.22

Hoje, temos o prazer de anunciar a disponibilidade de novas versões do Elasticsearch e Logstash, 7.16.2 e 6.8.22 respectivamente, que atualiza o Apache Log4j2 para a versão 2.17.0. Também retemos as mitigações entregues em 7.16.1 e 6.8.21. A soma das mitigações contra as mitigações Log4j entregues em 7.16.2 e 6.8.22 incluem:

1. Log4j atualizado para a versão 2.17.0
2. A classe JndiLookup foi completamente removida para eliminar a área de superfície de ataque fornecida pelo recurso JNDI Lookup e o risco associado de vulnerabilidades semelhantes
3. log4j2.formatMsgNoLookups = true é definido para desativar um dos recursos vulneráveis

Embora o patching de sistemas represente a melhor abordagem para ficar à frente dessas vulnerabilidades, pode haver casos em que o patching seja atrasado devido a dependências ou sistemas não gerenciados à espreita nos ambientes. Os usuários do Elastic Security também podem aproveitar o poder de detecção e correlação de eventos, usando Elastic Endpoint, Auditbeat e recursos de caça a ameaças, para identificar qualquer exploração ativa da vulnerabilidade Log4j2 no ambiente. Consulte o blog do Elastic sobre este tópico para saber como o Elastic pode ajudar.

O Elastic Security existente pode acessar esses recursos dentro do produto. Se você é novo no Elastic Security, dê uma olhada em nossos guias de início rápido (pequenos vídeos de treinamento para você começar rapidamente) ou nossos cursos de treinamento básicos gratuitos. Consulte a documentação online para ver como você pode atualizar suas implantações Elasticsearch e Logstash. Você sempre pode começar com uma avaliação gratuita de 14 dias do Elastic Cloud. Ou baixe a versão autogerenciada do Elastic Stack gratuitamente.

Referências

• https://logging.apache.org/log4j/2.x/security.html
• https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html
• https://www.bleepingcomputer.com/news/security/log4j-vulnerability-now-used-by-state-backed-hackers-access-brokers/
• https://thehackernews.com/2021/12/hackers-begin-exploiting-second-log4j.html
• https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited/
• https://www.zdnet.com/article/cisa-orders-federal-agencies-to-mitigate-log4j-vulnerabilities-in-emergency-directive/