Descubre la vulnerabilidad de Log4j con Anchore Enterprise
Contenidos:
- Introducción a la vulnerabilidad de log4j
- Análisis de imágenes afectadas
- Identificación de activos expuestos externamente
- Identificación de aplicaciones internas vulnerables
- Generación de informes basados en CVE
- Actualización recomendada a Apache log4j 2.17
- Validación de impacto en clústeres
- Políticas de seguridad con Incorp
- Bloqueo de paquetes específicos de log4j
- Uso de la función de herencia de imágenes base
⚡ Análisis de imágenes afectadas
En este apartado, exploraremos cómo identificar la vulnerabilidad de log4j en imágenes específicas. Utilizando el API y las herramientas de CTL y SIFT, es posible generar una S-bomb que nos muestra qué paquetes están presentes en la imagen. En la interfaz de usuario, esto se visualiza de manera clara y nos permite identificar fácilmente el paquete log4j.
Una vez identificado el paquete, también podemos obtener un resumen de cómo se incorporó en la imagen y acceder a la pestaña de vulnerabilidades para obtener una lista detallada de imágenes afectadas.
⚡ Identificación de activos expuestos externamente
Es crucial en roles de respuesta a incidentes identificar los activos externos que cuentan con la instalación del paquete log4j. Sin embargo, no deberíamos limitar nuestra respuesta solo a los activos externos, sino también a las aplicaciones internas que pueden estar utilizando log4j. Para identificar estos activos, es necesario realizar consultas específicas utilizando el identificador correspondiente.
En la interfaz, es posible filtrar y ver las imágenes impactadas por la vulnerabilidad de log4j con tan solo un clic. Esto proporciona una lista detallada de imágenes afectadas y es una herramienta útil para generar informes basados en distintas versiones de log4j.
⚡ Generación de informes basados en CVE
En la actualidad, se recomienda actualizar a Apache log4j 2.17 para mitigar la vulnerabilidad de log4j. En Incorp, es posible generar informes que muestran las vulnerabilidades conocidas, incluyendo aquellas que están siendo activamente explotadas según la lista publicada por CISA.
La generación de informes incluye descripciones detalladas de cada CVE y acciones automáticas de bloqueo. Esto implica que cualquier software desarrollado utilizando log4j será bloqueado y no podrá pasar por el proceso CICD. Además, es posible especificar paquetes específicos de log4j para bloquear su uso y personalizar las políticas de seguridad.
⚡ Validación de impacto en clústeres
Es importante validar que los clústeres no se vean afectados por la vulnerabilidad de log4j. Incorp proporciona una función de validación en tiempo de ejecución que permite verificar si los clústeres están siendo impactados por el CVE específico. De esta manera, se puede visualizar rápidamente si existe alguna imagen vulnerable en el entorno en ejecución.
⚡ Políticas de seguridad con Incorp
Incorp ofrece un paquete de políticas de seguridad CIS que incluye listas de vulnerabilidades conocidas. Estas políticas son útiles para automatizar la detección y bloqueo de uso de log4j en el proceso de desarrollo. Esto garantiza que los desarrolladores no tengan que preocuparse por la detección de la vulnerabilidad, ya que Incorp se encarga de Ello, proporcionando una cobertura adicional a lo que ofrece SIFT y CTL.
⚡ Uso de la función de herencia de imágenes base
La función "heredada de imagen base" es útil para diagnosticar y triagear la situación de imágenes vulnerables. Permite identificar si una imagen ha heredado el paquete log4j de una imagen base. Esto puede ser especialmente útil si el paquete log4j está siendo utilizado ampliamente en una imagen base y se está propagando en el entorno.
Al filtrar las imágenes según los paquetes específicos de log4j y la herencia de imágenes base, es posible comprender el alcance de la vulnerabilidad en el sistema.
💡 Destacados:
- Identificación fácil y rápida de la vulnerabilidad de log4j en imágenes.
- Listas detalladas de imágenes impactadas y generación de informes basados en distintas versiones de log4j.
- Políticas de seguridad automatizadas para bloquear el uso de log4j en el proceso de desarrollo.
- Validación en tiempo de ejecución para verificar el impacto de la vulnerabilidad en clústeres.
- Función de herencia de imágenes base para comprender el alcance de la vulnerabilidad.