Barracuda WAF et WAF-as-a-Service limitent la vulnérabilité critique d'Apache Log4j

Le matériel et les appliances virtuelles Barracuda Web Application Firewall, Barracuda CloudGen WAF sur AWS, Azure et GCP, Barracuda WAF-as-a-Service et Barracuda LoadBalancer ADC n'utilisent pas Log4j et ne sont donc pas touchés par cette vulnérabilité. Veuillez visiter le Barracuda Trust Center pour rester à jour car nous continuerons à partager d'autres mises à jour.

Description de la vulnérabilité

Log4j est une bibliothèque de journalisation éditée par la fondation Apache. Apache Log4j <=2.14.1 Les fonctionnalités JNDI utilisées pour la configuration, les messages du journal et les paramètres ne vous protègent pas contre les appels LDAP contrôlés par les pirates et d'autres points de terminaison JNDI. Ainsi, lorsque la substitution de recherche de message est activée, le pirate peut exécuter un code arbitraire chargé à partir des serveurs LDAP en contrôlant les messages du journal ou les paramètres des messages du journal. Cette vulnérabilité touche les configurations par défaut de plusieurs frameworks Apache, notamment Apache Struts2, Apache Solr, Apache Druid et Apache Flink, qui sont utilisés par de nombreuses grandes entreprises, dont Apple, Amazon, Cloudflare, Twitter, Steam, etc.

La vulnérabilité est déclenchée par l'envoi d'une chaîne spécifique au logiciel Log4j, ce qui signifie qu'elle est simple à exploiter, mais l'omniprésence de Log4j signifie en plus de cela qu'il existe de nombreux vecteurs d'attaque. Au cours des derniers jours, les pirates ont de plus en plus dissimulé leurs tentatives d'exploiter cette vulnérabilité.

CVSS : 10 - Critique

CVE : CVE-2021-44228

Détection et protection contre les attaques

Barracuda WAF-as-a-Service

Nous déployons de nouvelles signatures visant à détecter et bloquer les tentatives d'exploitation de Log4j. Celles-ci ont été mises à jour pour prendre en charge les dernières évasions observées en date du 13 décembre 2021. Ces signatures et ces paramètres bloqueront les requêtes GET et POST associées à cette attaque.

Barracuda Web Application Firewall et Barracuda CloudGen WAF

Nous sommes en train de déployer de nouvelles signatures pour cette vulnérabilité. Associées aux paramètres requis, elles bloqueront les requêtes GET et POST associées à cette attaque. Ces signatures détectent les variations repérées jusqu'à présent, mais nous continuons à les mettre à jour à mesure que la vulnérabilité évolue. Nous vous recommandons de déployer sur vos installations la dernière version de Log4j, pour laquelle le problème a été résolu.

Pour en savoir plus sur les nouvelles signatures et les nouveaux paramètres requis pour cette correction, veuillez consulter ce document du Barracuda Campus.

Si vous avez besoin d'aide avec ces paramètres ou des questions sur les schémas d'attaque, contactez l'assistance technique de Barracuda Networks.