Sembrava che l’anno si chiudesse con un po’ di tregua ed invece il weekend si è chiuso con il botto. Durante la giornata del 10 dicembre è stata rilasciata la CVE 2021-44228 relativa a Apache Log4j2 versione 2.41 o inferiore, che prende il nome di Log4Shell. I sistemi operativi coinvolti sono sia Windows che Linux.
La vulnerabilità classificata come 0-day, di tipo RCE (Remote Code Execution), permette ad un utente malintenzionato di inviare una richiesta HTTP, modificando opportunamente lo user-agent al fine di eseguire codice arbitrario caricato su di un server LDAP sulla macchina remota.
La vulnerabilità è effettuabile tramite una moltitudine di metodi: in effetti, qualsiasi scenario che consente a una connessione remota di fornire dati arbitrari scritti su file di registro da un’applicazione che utilizza la libreria Log4j2 è suscettibile a questo bug.
La stringa appositamente predisposta consente l’esecuzione di questa vulnerabilità può essere identificata attraverso diversi componenti. La stringa contiene “jndi”, che si riferisce a Java Naming and Directory Interface. In seguito, il protocollo, come “ldap”, “ldaps”, “rmi”, “dns”, “iiop” o “http”, precede il dominio dell’attaccante.
Gli attacchi sembrano arrivare in maggioranza dalla Russia ed a questo indirizzo potete scaricare la lista degli IP da cui partono gli attacchi – CVE-2021-44228 Apache Log4j RCE Attempts Dec 12th 9:57PM ET · GitHub.
Prevenzione
Ci sono diversi step da fare per bloccare questo attacco. Il primo tra tutti è aggiornare il motore Log4j2 alla versione 2.15.0. Poi ci sono diversi paliativi, come configurare delle regole sul firewall o simili, ma non sono la soluzione primaria.
Microsoft Defender 365 e Sentinel
La suite Microsoft Defender 365, unita a Microsoft Sentinel, è la soluzione perfetta per proteggere la propria infrastruttura in modo sicuro e da questo punto di vista, è stata rilasciata una documentazione che fornisce una serie di task per prevenire e bloccare gli attacchi sfruttando i vari strumenti come Defender for Endpoint e Defender for Cloud.
Maggiori informazioni al seguente link – Microsoft-Sentinel2Go/grocery-list/Linux/demos/CVE-2021-44228-Log4Shell at master · OTRF/Microsoft-Sentinel2Go · GitHub.