WallarmRU changelog wallarm.ru

API Security

Обзор

20 июня 2022 Spring опубликовал версии Spring Data MongoDB 3.4.1 и 3.3.5 для митигации следующей критической уязвимости:

CVE-2022-22980, уязвимость Spring Data MongoDB SpEL Expression injection в методах запроса к репозиторию.

Наличие данной уязвимости было анонсировано 13 июня 2022.

Уязвимость Spring Data MongoDB SpEL Expression injection

Эта уязвимость содержится в приложениях Spring Data MongoDB, в которых методы запроса к репозиторию имеют аннотацию @Query или @Aggregation и которые используют параметризованные операторы SpEL. Для эксплуатации уязвимости используются методы запроса к репозиторию, в которых не происходит валидация входных данных.

Обновления Валарм

Мы протестировали обнаружение Валарм атак на основе известного эксплойта и подтвердили, что попытки вторжения успешно обнаруживаются и блокируются. Никаких дальнейших действий с вашей стороны не требуется.

Для устранения уязвимости при работе Валарм в режиме мониторинга рекомендуется создать правило типа virtual patch.

Пожалуйста, обращайтесь по адресу support@wallarm.com, если вам нужна помощь.

API Security

Сообщаем вам об обнаружении критической 0-day уязвимости в Confluence (CVE-2022-26134).

02 июня 2022 г. компания Atlassian выпустила рекомендации по обеспечению безопасности для своих приложений Confluence Server и Data Center, в которых подчеркивается критическая серьезность уязвимости, связанной с удалённым выполнением кода без проверки подлинности (RCE). Эксплойты уже общедоступны, и мы ожидаем, что эта уязвимость будет широко использоваться.

Мы протестировали обнаружение Валарм атак на основе известного эксплойта и подтвердили, что попытки вторжения успешно обнаруживаются и блокируются. Никаких дальнейших действий с вашей стороны не требуется.

Для устранения уязвимости при работе в режиме мониторинга рекомендуется создать правило типа virtual patch на основе рекомендации Confluence. Пожалуйста, обращайтесь по адресу support@wallarm.com, если вам нужна помощь.

New

Мы рады анонсировать новую мажорную версию ноды Валарм, 4.0! В этом релизе доступен ряд больших и полезных изменений:

• Регистрация ноды в Облаке Валарм по токену на любой платформе установки. Поддержка регистрации с помощью пары "email пользователя-пароль" скоро прекратится. Рекомендуем перейти на использование токенов заранее, это также обеспечит более безопасное и быстрое подключение к Облаку.
• Упрощенная конфигурация ноды с мультиарендной опцией: теперь для настройки разных сущностей (тенанты и приложения) используются разные параметры, а ноду можно создать самостоятельно через Консоль управления.
• Нода Валарм теперь использует 443 порт для обращения к Облаку Валарм.
• Улучшено качество обнаружения атак за счет обновления версии библиотеки libdetection.
• Для повышения производительности ноды Валарм, добавлена возможность блокировать запросы с IP-адресов из черного списка без поиска признаков атак.
• В связи со стандартизацией терминологии переименованы некоторые параметры конфигурации ноды.

Подробное описание всех изменений, а также инструкции по корректной миграции на новую версию приведены в официальной документации.

Рекомендуем запланировать обновление модулей до версии 4.0. Это позволит вам использовать новые возможности платформы Валарм и избежать устаревания модулей.

Служба поддержки поможет ответить на все возникшие вопросы — support@wallarm.com.

API Security

Обзор

• Есть две уязвимости: уязвимость нулевого дня в Spring Core, которая называется Spring4Shell (уязвимость высокого уровня, которая уже эксплуатируется, но пока не имеет CVE) и в Spring Cloud Function (CVE-2022-22963).
• Валарм выпустил обновление для обнаружения и предотвращения эксплуатации этих уязвимостей.
• Если вы используете ноду Валарм в режиме блокировки, никаких дополнительных действий для защиты от эксплуатации этих уязвимостей не требуется.
• Если вы используете ноду в режиме мониторинга, рекомендуем создать виртуальные патчи для уязвимости в Spring Core и уязвимости в Spring Cloud Function.

Spring4Shell

Spring Framework — популярный фреймворк, который используется разработчиками Java для создания современных приложений. Если в вашем стеке есть Java, большая вероятность, что ваша инженерная команда использует Spring. В некоторых случаях для эксплуатации уязвимости требуется всего один специфичный запрос.

29 марта 2022 года в Твиттере появилась информация о примерах эксплуатации уязвимости нулевого дня в популярной Java-библиотеке Spring Core. Позже выяснилось, что в сети обсуждают и иногда путают два разных RCE:

• RCE в "Spring Core" ( на данный момент уязвимость не исправлена) - Spring4Shell
• RCE в “Spring Cloud Function” (CVE-2022-22963)

Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код в целевой системе. В некоторых конфигурациях злоумышленнику достаточно отправить один HTTP-запрос в уязвимую систему и получить несанкционированный доступ к системе. Некоторые конфигурации могут потребовать от злоумышленника дополнительных действий.

На момент написания данной статьи, уязвимость Spring4Shell не была исправлена в Spring Framework и в открытом доступе есть примеры, как осуществить её эксплуатацию. Мы также обнаружили реальные случаи эксплуатации этой уязвимости.

Обновления Валарм

Валарм автоматически обнаруживает попытки эксплуатации уязвимости Spring4Shell и выгружает их в список событий в Консоль управления.

Противодействие

Если Валарм работает в режиме блокировки, попытки эксплуатации приведенных уязвимостей будут блокироваться автоматически. Дополнительные действия не требуются.

Если Валарм работает в режиме мониторинга, мы рекомендуем создать виртуальные патчи для уязвимости в Spring Core и уязвимости в Spring Cloud Function.

Если потребуется помощь, обратитесь в нашу техническую поддержку: support@wallarm.com

New

Теперь вы можете группировать в атаки хиты, отправленные с одного IP‑адреса. Это позволит оптимизировать анализ атак, сгенерированных ботами или сторонними сканерами.

Обычно бот или сторонний сканер генерирует набор хитов с разными пэйлоадами, но отправляет их с одного IP‑адреса. По умолчанию каждый такой хит отображается как отдельная запись в списке событий в Консоли управления. Анализ сотни, а иногда и тысячи таких записей требует значительного количества времени. С помощью новой группировки вы можете объединять хиты от ботов и сторонних сканеров в одну атаку и анализировать ее как отдельную сущность.

Чтобы включить новую группировку, необходимо использовать специальный триггер:

Ограничение: Триггер не срабатывает на хиты с типами атак Brute force, Forced browsing, Resource overlimit, Data bomb и Virtual patch.

New

Мы выпустили новую версию ноды Валарм — 3.6. Рекомендуем запланировать обновление в ближайшее время.

В новом релизе:

• Добавлена поддержка AlmaLinux и Rocky Linux
• Объявлен End-Of-Life для CentOS 8.x, поддержка операционной системы прекращена и на нашей стороне
• Обновлена версия Community Ingress-контроллера NGINX, на котором основан Ingress-контроллер Валарм. Ранее использовалась версия 0.26.2, теперь — 1.1.1.
• В связи со стандартизацией терминологии переименованы некоторые параметры конфигурации
• Обновлена страница блокировки /usr/share/nginx/html/wallarm_blocked.html, которая может отображаться в браузере пользователя при блокировке атаки
• Новый параметр для настройки порта NGINX внутри Docker-образа

Перед обновлением внимательно изучите набор изменений и наши рекомендации. Служба поддержки Валарм поможет ответить на любые возникшие вопросы по обновлению - support@wallarm.com

API Security

Обнаружен новый вектор атаки Log4j, который потенциально приводит к атакам типа Denial of Service (DoS) и отказу в работе приложения. С детальным описанием можно ознакомиться по ссылке CVE-2021-45105.

• Команда детекта Валарм подтвердила, что механизмы Валарм обнаруживают попытки эксплуатации CVE-2021-45105.
• Попытки эксплуатации будут автоматически блокироваться для приложений, которые защищены Валарм в режиме блокировки. Если у вас есть приложения, где Валарм работает в режиме мониторинга, рекомендуем создать виртуальные патчи. При необходимости напишите в службу техподдержки за помощью support@wallarm.com
• Apache опубликовал новую версию Log4j (2.17) с исправленной уязвимостью. Настоятельно рекомендуется выполнить обновление.

API Security

Кратко

• Валарм выпустил обновление для обнаружения и противодействия уязвимости в Log4j (CVE-2021-44228, также известная как Log4Shell).
• Вы можете найти релевантные события, используя фильтр CVE:attacks incidents last 7 days CVE-2021-44228
• Попытки эксплуатации уязвимости будут блокироваться для тех приложений, которые защищены Валарм в режиме блокировки
• Если у вас есть приложения, где Валарм работает в режиме мониторинга, рекомендуем создать виртуальные патчи. При необходимости напишите в службу техподдержки за помощью support@wallarm.com

Log4Shell

Уязвимость нулевого для в популярной Java библиотеке может приводить к выполнению удаленного кода (RCE). С учетом распространенности библиотеки Log4j, приложения многих клиентов могут быть уязвимы.

Обновления Валарм

Валарм автоматически детектирует попытки эксплуатации уязвимости Log4Shell и логирует события в интерфейсе Валарм.

Вы можете найти релевантные события по фильтру CVE: attacks incidents last 7 days CVE-2021-44228:

Противодействие

Если Валарм работает в режиме блокировки, попытки эксплуатации будут автоматически блокироваться. Дополнительные действия не требуются.

Если Валарм работает в режиме мониторинга, мы рекомендуем создать виртуальные патчи. Обращайтесь в службу поддержки компании за помощью: support@wallarm.com

API Security

Мы упростили настройку защиты от брутфорс-атак. Теперь настройка осуществляется через обновленный интерфейс триггеров, причем можно отдельно создать триггеры для детекта разных атак перебора:

• Триггер Bruteforce определяет классические брутфорс атаки на основе количества N запросов к определенному URI.

• Триггер Forced browsing определяет атаки типа forced browsing (Dirbusting) и учитывает коды 404, отдаваемые защищаемым приложением.

В самом простом случае достаточно просто указать URI при создании триггера. Но условие применения триггера можно дополнительно уточнять в расширенной форме: использовать регулярные выражения, вводить условия на заголовки запроса (Headers) и т.д. Более подробная информация доступна в нашей документации.

Важно: Все ранее созданные триггеры будут работать, как и прежде. Никаких действий не требуется. Правила “Добавить к запросам тег атаки forced browsing”, “Добавить к запросам тег брутфорс атаки” пропадут из интерфейса — их нельзя будет создавать, изменять или удалять.

New

Мы выпустили новую версию ноды Валарм — 3.4. Рекомендуем запланировать обновление в ближайшее время.

В новом релизе:

• Добавлена поддержка CloudLinux OS 6.x
• Версия Envoy в Docker‑образе Валарм на основе Envoy обновлена до 1.18.4

Обратите внимание, что версии 2.18 и ниже больше не поддерживаются. Важно: ничего не изменится в работе существующих нод (версии 2.18), они продолжат работу. Однако запросы на поддержку и релиз hotfix будут ограничены.

Перед обновлением внимательно изучите набор изменений и наши рекомендации. Служба поддержки Валарм поможет ответить на любые возникшие вопросы по обновлению.