CyberSecurity,  Vulnerabilità

Log4Shell

Ufficialmente identificata come CVE-2021-44228, ha un punteggio di gravità di 10 su 10 (CVSS v3.1) secondo il Common Vulnerability Scoring System (CVSS).

La vulnerabilità è stata segnalata privatamente ad Apache il 24 novembre 2021.

Il 9 dicembre 2021 Log4Shell è stata rivelata pubblicamente e inizialmente patchata con la versione 2.15.0 di Apache Log4j.

Le notizie successive di attacchi osservati nel mondo reale hanno fatto sì che diverse agenzie nazionali di cybersecurity, tra cui la US Cybersecurity and Infrastructure Security Agency (CISA), lo UK National Cyber Security Center (NCSC) e il Canadian Center for Cyber Security, pubblicassero degli avvertimenti.

A causa della popolarità di Apache Log4j, centinaia di milioni di dispositivi possono essere potenzialmente colpite.

Di seguito le note di aggiornamento relative alla vulnerabilità log4j e a possibili workaround/remediation rilasciati dal CSIRT Italia e da VMware in relazione ai suoi prodotti; le soluzioni consigliate con relativa comandistica qualora non sia possibile l’aggiornamento automatico della libreria Apache, nonché una serie di link che potrebbero rivelarsi utili all’attuazione delle remediation.

Si noti che i link e i diversi riferimenti sono in costante aggiornamento e per questo potrebbero variare.

Il CSIRT Italia ha rilasciato sui propri portali pubblici https://csirt.gov.it e sul portale di collaboration https://portale.csirt.gov.it, appositi aggiornamenti al fine di ridurre al minimo l’esposizione delle infrastrutture che utilizzano l’applicazione.

Si riportano di seguito i link alle risorse già disponibili:

https://csirt.gov.it/contenuti/rilasciato-poc-pubblico-per-lo-sfruttamento-della-cve-2021-44228-che-riguarda-apache-log4j-al02-211210-csirt-ita;

https://csirt.gov.it/contenuti/rilasciato-poc-pubblico-per-lo-sfruttamento-della-cve-2021-44228-che-riguarda-apache-log4j-bl01-211212-csirt-ita;

https://csirt.gov.it/contenuti/vulnerabilita-log4shell-cve-2021-44228-aggiornamento-bl02-211212-csirt-ita;

Di seguito il collegamento relativo ai prodotti VMware impattati:

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

Nota: le versioni di Log4j v1 non sono piu’ supportate e non riceveranno aggiornamenti pur essendo vulnerabili anche ad ulteriori attacchi RCE pertanto e’ fortemente consigliato aggiornarle alla 2.16.0.

Queste librerie sono utilizzate da numerosi software di terze parti, rendendo vulnerabili anche le macchine che le utilizzino.

Una lista di software affetto dal problema, in continuo aggiornamento, si può trovare a questi indirizzi:

https://github.com/NCSC-NL/log4shell/tree/main/software

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Per quanto riguarda Shibboleth

https://shibboleth.net/pipermail/announce/2021-December/000253.html

:: Impatto

Esecuzione di codice arbitrario da remoto e senza autenticazione. Compromissione di un sistema.

:: Soluzioni

Aggiornare le librerie Apache Log4j all’ultima versione 2.15.0 Aggiornare i sistemi affetti che utilizzino le librerie

Ove non sia possibile aggiornare all’ultima versione; di seguito alcuni suggerimenti di CSIRT Italia per la mitigazione e la riduzione della superficie di attacco:

• impostare le seguenti proprietà: log4j2.formatMsgNoLookups=true LOG4J_FORMAT_MSG_NO_LOOKUPS=true

• rimuovere la classe JndiLookup dal path delle classi zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

• Impostare le seguenti proprietà in Java 8u121: com.sun.jndi.rmi.object.trustURLCodebasecom.sun.jndi.cosnaming.object.trustURLCodebase=false

• – Esistono anche numerosi modi di controllare nei propri log se esistono attacchi di questo tipo ai nostri server, di seguito alcune informazioni per cercare nei log e controllare gli IoC:

:: Regole YARA

https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

Comandi linux per scansionare la /var/log sudo egrep -i -r ‘\${jndi:(ldap[s]?|rmi)://[^\n]+’ /var/log sudo find /var/log -name *.gz -print0 | xargs -0 zgrep -E -i ‘\${jndi:(ldap[s]?|rmi)://[^\n]+’ Windows

:: fail2ban

https://github.com/atnetws/fail2ban-log4j

Esistono inoltre diversi sistemi per scansionare i propri server alla ricerca della vulnerabilità, citiamo Huntress Log4Shell Vulnerability Tester, consigliato da CIS – Center for Internet Security: https://log4shell.huntress.com/

Infine una lista di IoC, anche questa in continuo aggiornamento, compilata da CERT AgID: https://cert-agid.gov.it/news/cert-agid-condivide-i-propri-ioc-per-la-mitigazione-degli-attacchi-log4shell/

I riferimenti sono numerosissimi e in costante aggiornamento, una lista di quelli che consideriamo essenziali:

:: Apache Log4j

https://logging.apache.org/log4j/2.x/security.html

https://logging.apache.org/log4j/2.x/download.html

:: NIST

https://nvd.nist.gov/vuln/detail/CVE-2021-44228

:: CIS – Center for Internet Security

https://www.cisecurity.org/advisory/a-vulnerability-in-apache-log4j-could-allow-for-arbitrary-code-execution_2021-158/

:: CSIRT Italia

https://csirt.gov.it/contenuti/vulnerabilita-log4shell-cve-2021-44228-aggiornamento-bl02-211212-csirt-ita

:: CERT AgID

https://cert-agid.gov.it/news/cert-agid-condivide-i-propri-ioc-per-la-mitigazione-degli-attacchi-log4shell/

:: SANS Internet Storm Center

https://isc.sans.edu/diary/28120

:: LunaSec

https://www.lunasec.io/docs/blog/log4j-zero-day/

:: Mitre’s CVE ID

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

Potrebbe piacerti anche

CyberSecurity in Italia
Luglio 11, 2023
Follina
Giugno 13, 2023
L’Intelligenza Artificiale nella Cybersecurity
Luglio 28, 2023