Možno ste zachytili informáciu o novej kritickej zraniteľnosti knižnice log4j s CVSS score 10 (najvyššie možné) a o zero-day expolite Log4Shell. Táto zraniteľnosť zasahuje väčšinu Java aplikácií a umožňuje vzdialeným neautentifikovaným útočníkom spustenie škodlivého kódu. Pomôže nám IPS ochrániť našu infraštruktúru pred možným útokom? Záleží, aké máte nastavenie.
LOG4SHELL IPS signatúra
Čo je to IPS a ako nám pomáha zvýšiť bezpečnosť v našej infraštruktúre sme popísali v článku „IPS (INTRUSION PREVENTION SYSTEM) – OCHRANA PROTI SIEŤOVÝM ÚTOKOM„.
Fortinet zareagoval na túto zraniteľnosť popísanú v CVE-2021-44228 pomerne rýchlo a už 10.12.2021 vydal signatúru, ktorá vie potenciálny útok detekovať. Nakoľko však ide o emergency signatúru, jej default Action je Pass, ako môžete vidieť na obrázku nižšie.
![LOG4SHELL IPS signatúra](https://netvel.sk/wp-content/uploads/2023/12/IPS-signature.png)
IPS senzor „default“ v pôvodnom nastavení používa Action „Default“, čiže sa spolieha na nastavenie samotnej signatúry. Dôsledok je, že v prípade útoku Log4shell by IPS síce túto aktivitu detekovalo, ale nazablokovalo by ju.
Nastavenie IPS senzoru „Default“
![IPS senzor default](https://netvel.sk/wp-content/uploads/2023/12/IPS-sensor-allowed.png)
LOG4SHELL – blockovanie potenciálneho útoku
Možné riešenie by bolo nastavenie IPS senzoru tak, aby bol tento útok explicitne blockovaný. Alternatívne riešenie by mohlo byť explicitné blockovanie všetkých útokov so závažnosťou „Critical“.
![LOG4SHELL IPS senzor](https://netvel.sk/wp-content/uploads/2023/12/IPS-sensor-blocked.png)
Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.