Descripción
Este artículo describe cómo usar FortiClient y el perfil de Endpoint Security de FortiClient EMS para protegerse contra el exploit Apache Log4j. La vulnerabilidad se asigna CVE-2021-44228.
Para obtener más información sobre esta vulnerabilidad, así como las actualizaciones de paquetes recomendadas para varios dispositivos Fortinet Security Fabric, consulte la siguiente alerta de brote de FortiGuard:
Alerta de brote de FortiGuard: vulnerabilidad Log4j2
FortiClient Endpoints debe tener actualizaciones del paquete Application Firewall en la versión recomendada (19.218) o superior. Consulte el paquete IPS a continuación:
Paquete FortiGuard IPS 19.218
Alcance
Las configuraciones del perfil de seguridad de endpoint se pueden configurar en FortiClient EMS v6.2+, implementado en FortiClient Endpoints v6.2+. Los sistemas operativos de endpoint admitidos son Windows y Mac.
Solución
1) Usando FortiClient EMS, cree un nuevo perfil de endpoint o edite un perfil de endpoint existente. Luego configure lo siguiente:
– En la pestaña Firewall, habilite Firewall de aplicaciones
– En Configuración general, habilite Detectar y bloquear exploits
– seleccione ‘Guardar’ para guardar los cambios.
2) Permitir que los cambios se envíen a los puntos finales administrados. Luego verifique Endpoints para la instalación de los últimos paquetes de Firma de firewall de aplicaciones.
3) Si se detecta un intento de explotación, FortiClient bloqueará el intento. Aparecerá una notificación emergente de FortiClient en la bandeja del sistema del Dispositivo Periférico.
4) En FortiClient EMS, puede ver el registro del intento de explotación cuando ve el Endpoint objetivo.
– Vaya a Puntos finales > Todos los puntos finales y seleccione el dispositivo objetivo.
– Use la pestaña Eventos de Firewall para ver el intento de explotación.