Недавно мы писали про критическую уязвимость log4j, которая появилась в компоненте веб-сервера Apache Software Foundation log4j Java logging, а значит и во многих продуктах VMware. Атакующий, который имеет доступ к отсылке логов, может исполнять код, полученный с LDAP-серверов, когда настройка message lookup substitution включена. Это уязвимость типа "zero-day", а значит исправление ее для различных программных продуктов еще находится в процессе.
Если у вас есть средство VMware vRealize Network Insight, предназначенное для мониторинга и защиты сетевой инфраструктуры виртуальной среды на уровне приложений в онпремизном и облачном датацентре, то вы можете легко обнаружить злоумышленников, которые пытаются использовать уязвимость log4j.
Итак, вам понадобится собранный участниками краудсорсинговой кампании список IP-адресов, а также вот этот Python-скрипт от автора Martijn Smit. В VMware vRNI должен быть включен анализ потоков (flows), кроме того у вас должен быть развернут vRealize Network Insight Python SDK.
Для запуска процесса анализа сетевых подключений и потоков выполняем следующие команды:
Отработают эти команды примерно следующим образом (кликните для анимации):
Также этот скрипт можно запустить и в облачной версии vRealize Network Insight Cloud с токеном Cloud Services Portal API. Для этого надо посмотреть параметры скрипта:
# python3 vrni-log4j-flow-check.py --help
Понятное дело, что если вы найдете соединения с атакующих IP (однако, не все они могут быть вредными, так как в списке много адресов российских провайдеров), то лучше отклонить эти соединения.
Вот еще немного информации по теме, которая может оказаться вам полезна: