Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • FA-02-22 Informativo Vulnerabilidade Com Apache Log4j

    Enviado por

    Fabrizzio Ischaber
    15 visualizações5 páginas

    Título original

    FA-02-22 Informativo Vulnerabilidade com Apache Log4j

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    15 visualizações5 páginas

    FA-02-22 Informativo Vulnerabilidade Com Apache Log4j

    Enviado por

    Fabrizzio Ischaber

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 5

    FA-02-22 Informativo

    Vulnerabilidade com
    Apache Log4j
    Flash Alerta

    https://new.siemens.com/br/pt/produtos/building-technologies.html

    O que você precisa saber

    Se aplica para Desigo CC/Cerberus DMS com Advanced Reporting ou


    Ponto chave #1
    Infocenter EMs.

    Ponto chave #2 Versões afetadas V4.0, V4.1, V4.2, V5.0 e V5.1.

    Ações necessárias para remediações, soluções alternativas e atenuações


    Ponto chave #3
    para esta vulnerabilidade.

    Esta comunicação é confidencial e para uso interno da Siemens, IFOs e


    Ponto chave #3
    VAPs apenas.

    PLN Número: FA-02-22 Linha de Produto: Desigo CC/Cerberus DMS


    Canal: VAPs Data: 05/01/22
    Elaborado por: Hamilton Oliveira
    Página 1
    Restricted © Siemens 2021
    Vulnerabilidade com Apache Log4j

    Informações Iniciais
    As informações apresentadas neste comunicado (FA) podem não ser confirmadas e devem
    ser consideradas preliminares. Destinam-se a disseminar informações rapidamente para
    evitar perda de tempo na solução de problemas. Cada edição será encaminhada através de
    um novo comunicado (FA). Após a confirmação do problema e da resolução, este FA será
    atualizado conforme necessário.

    Problema
    Em 13 de dezembro de 2021, a Siemens Product CERT lançou o comunicado de segurança
    Vulnerabilidades (Log4Shell, CVE-2021-44228, CVE-2021-45046) - Impacto para produtos
    Siemens” e atualizado em 28 de dezembro de 2021. A intenção deste comunicado FA é para
    fornecer informações sobre este alerta no que se refere a produtos vendidos pela Siemens
    Industries nos EUA e pontos de discussão e opções de correção para o seu cliente. Observe
    que este comunicado é atualizado constantemente à medida que novas informações são
    disponibilizadas.

    Segundo Plano

    Em 09/12/2021, foi divulgada uma vulnerabilidade no Apache Log4j (uma ferramenta de


    registro usada em muitos aplicativos baseados em Java) que poderia permitir que acessos
    remotos não autenticados executassem código em sistemas vulneráveis. A vulnerabilidade é
    rastreada como CVE-2021-44228 e também é conhecida como “Log4Shell”.
    Em 14/12/2021, uma vulnerabilidade adicional de negação de serviço (CVE-2021-45046) foi
    publicada, tornando as atenuações e correção iniciais na versão 2.15.0 como incompletas
    sob certas configurações fora dos padrões. As versões 2.16.0 e 2.12.2 do Log4j devem
    corrigir ambas as vulnerabilidades. Os seguintes produtos da Siemens Industry vendidos na
    região das Américas são afetados:

    • Cerberus DMS: V5.0, V5.1 apenas com Advanced Reporting EM instalado.

    • Desigo CC: V3.0, V4.0, V4.1, V4.2, V5.0, V5.1 apenas com Advanced Reporting EM ou
    InfoCenter EM instalado.

    Página 2
    Restricted © Siemens 2021
    Vulnerabilidade com Apache Log4j

    Ação
    Para qualquer um dos produtos listados acima, siga as instruções mais atuais sobre
    remediações, soluções alternativas e atenuações para esta vulnerabilidade fornecidas no
    neste comunicado.

    Quais sistemas são vulneráveis

    Qualquer Desigo CC (incl. versões compactas) ou sistemas Cerberus DMS onde as


    condições abaixo são atendidas ao mesmo tempo:
    • Versões: V3.x, V4.0, V4.1, V4.2, V5.0, V5.1.
    • Os Módulo de Extensão (EM) “Advanced Reporting” e / ou “InfoCenter” foram instalados
    na estação de trabalho do servidor, incluindo os pré-requisitos BIRT e Apache Tomcat. Em
    todos os outros casos, esta vulnerabilidade não pode ser explorada e, portanto, nenhuma
    ação é necessária.

    Como verificar se o sistema foi afetado pela vulnerabilidade

    • No Servidor, na pesquisa rápida ao lado do menu iniciar, digite -> Adicionar ou Remover
    Programas e pesquise o programa “Apache Tomcat (qualquer versão)”. Se esse programa
    estiver presente na lista, o sistema foi afetado.

    Quais dos sistemas vulneráveis apresentam maiores riscos de exploração

    • Sistemas expostos à Internet pública ou infraestruturas críticas estão sujeitos a maiores


    riscos para serem explorados, portanto, devem ser tratados o mais cedo possível. Todos
    os outros sistemas afetados precisam ser tratados com alta urgência com a próxima
    atividade de manutenção, o mais tardar dentro de 3 meses.
    Página 3
    Restricted © Siemens 2021
    Vulnerabilidade com Apache Log4j

    Ação
    Como proteger um sistema vulnerável

    Opção 1: baixe o script abaixo.


    Script - Patch_for_Log4j_Vulnerability_V1.0.zip (5,9 KB)

    1. Copie o arquivo “Patch_for_Log4j_Vulnerability_V1.0.zip” no HD do servidor Desigo CC e


    descompacte os arquivos.
    2. Localize o arquivo em “bath” "Patch_Log4j_vulnerability.bat".
    3. Execute o arquivo em “bath” com direitos de administrador clicando com o botão direito
    do mouse no arquivo e selecionando "Executar como administrador".
    4. Um prompt de comando será aberto e mostrará o progresso.
    5. Assim que o patch for concluído, o prompt de comando fornecerá a confirmação.
    6. Em alguns sistemas, existe a possibilidade de o “Apache Tomcat 9.0 Tomcat9”
    permanecer no estado parado.

    Nota: Recomenda-se que após a aplicação do patch, verifique o status do serviço “Apache
    Tomcat 9.0 Tomcat9” e se estiver parado, inicie-o manualmente.

    Tempo estimado para aplicar patch no sistema: abaixo de 5 minutos.

    Opção 2: alternativamente, execute manualmente o conteúdo do script da seguinte


    forma.

    1. Vá para a estação de trabalho onde o Apache Tomcat foi instalado;


    2. Pare o serviço ApacheTomcat dos serviços do Windows;
    3. Abra o prompt de comando como administrador;
    4. Vá para a pasta onde o arquivo “log4j-core-2.7.jar” está implantado; normalmente, o
    arquivo pode ser encontrado na pasta de instalação padrão do Apache Tomcat em “… \
    webapps \ gms-birt \ WEB-INF \ lib”;
    5. Execute o comando abaixo a partir do caminho (dependendo de qual aplicativo zip está
    disponível no PC) zip -q -d log4j-core-2.7.jar org / apache / logging / log4j / core / lookup /
    JndiLookup.class- Ou -7z d log4j-core-2.7.jar org / apache / logging / log4j / core /
    lookup / JndiLookup.class;
    6. Reinicie o serviço Apache Tomcat dos serviços do Windows (observação: este
    procedimento não requer nem interromper o projeto do SMC, nem fazer um backup do
    projeto primeiro).

    Opção 3: Se as opções acima não puderem ser executadas, a única opção restante é
    bloquear as conexões de entrada e saída entre o sistema e a Internet.

    Tempo estimado para proteger o sistema: menos de 20 minutos.

    Página 4
    Restricted © Siemens 2021
    Informações adicionais

    Suporte Técnico
    Via e-mail: Via telefone:
    Central de Atendimento
    support.brazil.automation@siemens.com 08000 11 94 84
    Siemens (CAS)

    Siemens

    Smart Infrastructure Building Products

    BP Brasil

    Página 5
    Restricted © Siemens 2021

    Você também pode gostar