Datto brengt Log4Shell RMM-component uit voor Datto-partners en de MSP-gemeenschap

Datto brengt Log4Shell RMM-component uit voor Datto-partners en de MSP-gemeenschap

By Ryan Weeks

Afgelopen vrijdag, 10 december 2021, kwam het nieuws naar buiten dat er actief misbruik werd gemaakt van een kritieke kwetsbaarheid (CVE-2021-44228) in een veelgebruikt onderdeel van op Java gebaseerde software, Log4j.

Meer informatie over de kwetsbaarheid en de eerste reactie van Datto is te vinden in onze Datto Response to Log4Shell-blog.

De mate waarin dit softwarepakket is geïntegreerd in technologieën en platformen wordt nog steeds ontdekt, en een opsomming van kwetsbare instanties of potentiële aanvallen kan moeilijk zijn op schaal. Datto heeft een Datto RMM-component voor partners beschikbaar gemaakt en een communityscript voor alle MSP's vrijgegeven. Hiermee kunnen gebruikers profiteren van de kracht en het bereik van hun RMM, ongeacht de leverancier, om een opsomming te maken van systemen die zowel mogelijk kwetsbaar zijn als mogelijk zijn aangevallen. De tool kan ook proberen bescherming te bieden tegen volgende aanvallen door een bekende alternatieve oplossing toe te passen.

Datto Partners: RMM-component

Datto heeft de Log4Shell Enumeration, Mitigation and Attack Detection Tool voor Windows en Linux gemaakt die de nieuwste detectiemethoden, gepubliceerd door Florian Roth, downloadt en uitvoert.

De tool is gratis beschikbaar voor Datto RMM-partners via de ComStore.

MSP's kunnen de tool op beveiligde systemen gebruiken om:

  • Alle JAR-bestanden op het systeem te scannen op tekenen van onveilige versies van Log4j
  • TXT- en LOG-bestanden op een systeem te doorzoeken op indicatoren van een potentiële aanval
  • Automatisch te beschermen tegen toekomstige pogingen tot misbruik door de LOG4J_FORMAT_MSG_NO_LOOKUPS omgevingsvariabele in te stellen op TRUE.

Mocht de component tekenen van een aanval identificeren, dan wordt er een rapport gemaakt. Een Datto RMM File/Folder Size monitor kan worden geconfigureerd om naar dit rapport te zoeken, waarvan de aanwezigheid een indicator is dat er verdachte activiteit is gedetecteerd.

MSP gemeenschap: Scripts beschikbaar op Github Windows

Datto heeft de Log4Shell Enumeration, Mitigation and Attack Detection Tool voor Windows beschikbaar gesteld op Github. Deze kan worden gebruikt in combinatie met elke RMM om de bredere community te helpen bij het opsommen van kwetsbare gevallen, het detecteren van potentiële aanvallen en het helpen bij tijdelijke bescherming.

Linux

We hebben ook onderzocht of we een Linux script konden maken, maar kwamen tot de conclusie dat Florian Roth's Fenrir tool alles is wat MSP's nodig hebben, en dat het opnieuw verpakken hiervan geen toegevoegde waarde heeft.

Beperkingen van het programma

  • Als de tool de nieuwste detecties niet kan downloaden, zal het standaard een cache-versie gebruiken. Systemen hebben toegang nodig tot https://www.github.com om toegang te krijgen tot de meest recente bescherming.
  • Er zijn een aantal technieken op basis van patroonherkenning waarmee gebruikelijke opsporingstechnieken kunnen worden omzeild. Daarom zijn de tools een aanvulling op, en geen vervanging van, een grondige logboekcontrole.
  • Bescherming kan ondoeltreffend zijn op bepaalde systemen, afhankelijk van hoe het Log4j-pakket is ingebed.
  • Een positief resultaat hoeft niet noodzakelijk te wijzen op de aanwezigheid van een kwetsbaarheid die kan worden uitgebuit. De resultaten moeten worden behandeld als een lijst met prioriteiten voor je analyse.

Incident response

Als je een aanvalsdetectie hebt waarvan je denkt dat het een echte positieve detectie is, en je kunt bevestigen dat er een uitgaande verbinding met een Command and Control (C2)-server is gemaakt, dan raden we aan samen te werken met je SIEM, SOC, MDR, MSSP of ander Incident Response-bedrijf. Het is verstandig om samen een onderzoek uit te voeren naar de mogelijke aanwezigheid van een bedreigingsactor.

Happy hunting

Het is nu tijd om waakzaam te blijven en een actieve houding aan te nemen bij het opsommen en patchen van systemen tegen deze opkomende dreiging. Wij hopen dat dit hulpprogramma de nodige ondersteuning biedt bij dat streven.


Suggested Next Reads