Dopo che un utente ha pubblicato un proof-of-concept (PoC) su Twitter, gli honeypot di Bitdefender hanno iniziato a registrare attacchi, sottolineando quanto sia grave questa nuova vulnerabilità: Log4shell. Essa fa parte della libreria di Java Log4j e permette agli aggressori di scaricare ed eseguire script su server specifici, lasciandoli aperti al controllo remoto.
Dopo che un utente ha pubblicato un proof-of-concept (PoC) su Twitter, gli honeypot di Bitdefender hanno iniziato a registrare attacchi, sottolineando quanto sia grave questa vulnerabilità. Il problema però è che Log4j non è solamente un’altra libreria Java, ma è incorporato in server e servizi di tutto il mondo e utilizzato da aziende come Apple, Amazon, Cloudflare, e Steam. Il punteggio di questa vulnerabilità è il massimo previsto: 10/10, il che significa che gli aggressori possono sfruttarlo in remoto senza alcun input da parte del malcapitato senza particolari competenze tecniche. L’Apache Software Foundation ha rilasciato quindi una patch di emergenza: visto che la vulnerabilità è prevista nelle versioni da 2.0 a 2.14, Log4j 2.15.0 è ora disponibile per tutti.
Le funzioni JNDI utilizzate nella configurazione, nei messaggi di log e nei parametri, non proteggono da LDAP controllato da aggressori e altri endpoint correlati a JNDI. Un utente malintenzionato che può controllare i messaggi di registro e i relativi parametri, può eseguire un codice arbitrario caricato dai server LDAP quando è abilitata la sostituzione della ricerca dei messaggi. Da Log4j 2.15.0, questo comportamento è stato disabilitato per impostazione predefinita
Quanto sopra è ciò che gli sviluppatori hanno spiegato nelle note di rilascio. E’ difficile però, stimare l’impatto che Log4Shell avrà perché, purtroppo, le patch richiedono sempre molto tempo per essere applicate e verificate. Come detto, dopo il rilascio della PoC di Log4Shell, gli honeypot di Bitdefender hanno visualizzato immediatamente gli attacchi, che purtroppo sono sembrati subito in costante aumento, andando alla ricerca di modi per trarre vantaggio dalla vulnerabilità appena scoperta. Proprio per questo Bitdefender consiglia di passare all’aggiornamento più recente il prima possibile, anche perché gli hacker conoscono perfettamente il campo e purtroppo in molti credono che questo attacco non si placherà molto presto.
Suggerimenti per contrastare la vulnerabilità:
- Controllate quali componenti della infrastruttura usano log4j2;
- Installate la patch 2.16.0 ovunque sia possibile;
- In alternativa disabilitate JDNI e rimuovete il supporto per il Message lookups;
- Salvate le evidenze digitali dei sistemi prima di installare patch, riavviare o spegnere;
- Salvate memoria e dischi delle macchine potenzialmente affette;
- Utilizzare soluzioni Cisco, Citrix, VMware;
- Seguire le indicazioni di ogni vendor interessato per mitigazione, patch o aggiornamento;
- Segui le indicazioni che Apache ha rilasciato riguardo le tecniche di mitigazione, ove l’installazione di patch non sia possibile;
- Identificate le applicazioni critiche e tenetevi aggiornati con i rispettivi vendor.
- Se non potete installare patch seguite le indicazioni qui riportate.