Datto frigiver Log4Shell RMM-tilføjelse til Datto-partnere og MSP’er

Fredag den 10. december 2021 blev der opdaget en kritisk sårbarhed (CVE-2021-44228) i Log4j, der er en del af Java-baseret software.

Flere oplysninger om sårbarheden kan findes i vores Datto Response to Log4Shell-blog.

Det er stadig ved at blive undersøgt, i hvilket omfang Log4j er integreret i teknologier og platforme verden over. Dog kan det være svært at danne et komplet overblik over sårbarheder og potentielle angrebsflader, når det er i en skala som dette sikkerhedshul er.

Derfor har Datto udviklet en Datto RMM-tilføjelse til sine partnere samt et script til alle MSP’er, der kan udnytte din RMM-løsning, uanset leverandør, til at udarbejde en liste over systemer, der enten er potentielt sårbare eller har været udsat for et angreb. Værktøjet kan også hjælpe med at beskytte mod efterfølgende angreb ved at benytte en kendt løsning.

Datto-partnere: RMM-tilføjelse

Datto har udviklet Log4Shell Enumeration, Mitigation and Attack Detection Tool til Windows og Linux, der downloader og udfører de seneste detektionsmetoder udgivet af Florian Roth.

Værktøjet er gratis tilgængeligt for Datto RMM-partnere via ComStore.

MSP’er kan bruge værktøjet på beskyttede systemer til at:

• Scanne alle JAR-filer i systemet for tegn på usikre versioner af Log4j
• Søge i TXT- og LOG-filer i systemer for at finde indikatorer på et potentielt angreb
• Automatisk at beskytte mod fremtidige angrebsforsøg ved at indstille variablen LOG4J_FORMAT_MSG_NO_LOOKUPS til TRUE.

Skulle tilføjelsen opdage tegn på angreb, vil der blive udarbejdet en rapport. En Datto RMM-File/Folder Size-overvågning kan konfigureres til at søge efter denne rapport, der indikerer, at mistænkelig aktivitet er blevet opdaget.

MSP’er: Scripts tilgængelige på Github

Windows

Datto har gjort Log4Shell Enumeration, Mitigation and Attack Detection Tool til Windows tilgængeligt på Github. Det kan benyttes sammen med alle RMM-løsninger og hjælper MSP’er med at danne et overblik over sårbarheder, opdage potentielle angreb og hjælpe med midlertidig beskyttelse.

Linux

Datto har også undersøgt muligheden for at lave ​​et linux-script, men fandt ud af, at Florian Roths Fenrir-værktøj faktisk er alt, hvad MSP'er har brug for. Derfor ser vi ingen værdi i at omdanne et værktøj, der virker for MSP’er, der benytter Linux.

Begrænsninger

• Hvis værktøjet ikke er i stand til at downloade de seneste opdagelser, vil det gå tilbage til en standard cachelagret version. Systemer skal have adgang til https://www.github.com for at få adgang til den mest opdaterede beskyttelse.
• Der er en række undvigelsesteknikker med mønstergenkendelse, der omgår almindelige detektionsteknikker, som benytter regler for detektion af pakker. Derfor er disse værktøjer et supplement til, og ikke en erstatning for, en grundig loggennemgang.
• Beskyttelse kan blive ineffektive på visse systemer afhængigt af, hvordan Log4j er integreret.
• Et positivt resultat indikerer ikke nødvendigvis ​​en sårbarhed. Resultater skal i stedet behandles som en prioriteret liste til din analyse.

Hændelsesrespons

Hvis du opdager et angreb, som du mener, er en ’rigtig positiv’, og du er i stand til at bekræfte, at en efterfølgende udgående forbindelse til en Command and Control (C2) server er blevet oprettet, foreslår vi, at du arbejder sammen med en SIEM, SOC, MDR, MSSP eller Incident Response-virksomhed. De vil kunne hjælpe dig med at undersøge, om der er er en trusselaktør til stede i dine systemer.

God jagt

Slutteligt er der kun at sige: Vær på vagt og vær proaktiv, så du hurtigt kan opdage og patche denne nye trussel. Vi håber, at dette værktøj giver dig den nødvendigide hjælp.