LOG4SHELL – Pomôže nám IPS? Možno…

Možno ste zachytili informáciu o novej kritickej zraniteľnosti knižnice log4j s CVSS score 10 (najvyššie možné) a o zero-day expolite Log4Shell. Táto zraniteľnosť zasahuje väčšinu Java aplikácií a umožňuje vzdialeným neautentifikovaným útočníkom spustenie škodlivého kódu. Pomôže nám IPS ochrániť našu infraštruktúru pred možným útokom? Záleží, aké máte nastavenie.

LOG4SHELL IPS signatúra

Čo je to IPS a ako nám pomáha zvýšiť bezpečnosť v našej infraštruktúre sme popísali v článku “IPS (INTRUSION PREVENTION SYSTEM) – OCHRANA PROTI SIEŤOVÝM ÚTOKOM“.

Fortinet zareagoval na túto zraniteľnosť popísanú v CVE-2021-44228 pomerne rýchlo a už 10.12.2021 vydal signatúru, ktorá vie potenciálny útok detekovať. Nakoľko však ide o emergency signatúru, jej default Action je Pass, ako môžete vidieť na obrázku nižšie.

LOG4SHELL IPS signatúra

IPS senzor “default” v pôvodnom nastavení používa Action “Default”, čiže sa spolieha na nastavenie samotnej signatúry. Dôsledok je, že v prípade útoku Log4shell by IPS síce túto aktivitu detekovalo, ale nazablokovalo by ju.

Nastavenie IPS senzoru “Default”

IPS senzor default

LOG4SHELL – blockovanie potenciálneho útoku

Možné riešenie by bolo nastavenie IPS senzoru tak, aby bol tento útok explicitne blockovaný. Alternatívne riešenie by mohlo byť explicitné blockovanie všetkých útokov so závažnosťou “Critical”.

LOG4SHELL IPS senzor

Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.

Táto webová stránka používa Akismet na redukciu spamu. Získajte viac informácií o tom, ako sú vaše údaje z komentárov spracovávané.