Cos'è la vulnerability Apache Log4J (Log4Shell)?
Abbatti i silos della sicurezza e rafforza le tue difese con la potenza di un'unica piattaforma di cybersecurity.
Log4Shell (CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105) è una vulnerabilità RCE (remote code execution) che permette ai malintenzionati di eseguire codice Java arbitrario, prendendo il controllo di un server obiettivo.
Panoramica della Log4j/Log4Shell vulnerability
Il 2021 è stato un anno impegnativo per le vulnerabilità zero-day, coronato da Log4Shell, una falla critica individuata in Apache Log4j, una libreria di generazione dei log basata su Java e ampiamente utilizzata. Ufficialmente identificata come CVE-2021-44228, ha un punteggio di gravità di 10 su 10 (CVSS v3.1) secondo il Common Vulnerability Scoring System (CVSS).
La vulnerabilità è stata segnalata privatamente ad Apache il 24 novembre 2021. Il 9 dicembre 2021 Log4Shell è stata rivelata pubblicamente e inizialmente patchata con la versione 2.15.0 di Apache Log4j.
Le notizie successive di attacchi osservati nel mondo reale hanno fatto sì che diverse agenzie nazionali di cybersecurity, tra cui la US Cybersecurity and Infrastructure Security Agency (CISA), lo UK National Cyber Security Center (NCSC) e il Canadian Center for Cyber Security, pubblicassero degli avvertimenti. A causa della popolarità di Apache Log4j, centinaia di milioni di dispositivi potrebbero essere colpiti.
Come funziona Log4Shell
Log4Shell è una vulnerabilità di iniezione di Java Naming and Directory Interface™ (JNDI) che può consentire l'esecuzione di codice remoto (RCE). Includendo dati non attendibili (come payload dannosi) nel messaggio registrato in una versione di Apache Log4j affetta, un attaccante può stabilire una connessione a un server dannoso tramite la ricerca JNDI. Il risultato: accesso completo al sistema da qualsiasi parte del mondo.
Poiché la ricerca JNDI supporta diversi tipi di directory come Domain Name Service (DNS), Lightweight Directory Access Protocol (LDAP) che fornisce informazioni preziose come i dispositivi di rete dell'organizzazione, Remote Method Invocation (RMI) e Inter-ORB Protocol (IIOP), Log4Shell può facilitare il concretizzarsi di altre minacce come:
- Coinmining: Gli attaccanti possono utilizzare le risorse per estrarre criptovalute. Questa minaccia può essere abbastanza costosa, data la grande quantità di potenza di calcolo richiesta per eseguire servizi e applicazioni nel cloud.
- Negazione del servizio di rete (DoS): Questa minaccia permette agli aggressori di spegnere e/o disabilitare una rete, un sito web o un servizio in modo che sia inaccessibile all'organizzazione bersaglio.
- Ransomware: Dopo aver ottenuto la RCE, gli aggressori possono raccogliere e criptare i dati a scopo di riscatto.
Di seguito è riportata una possibile catena di infezione:
Prodotti, applicazioni e plug in vulnerabili
Essenzialmente, qualsiasi dispositivo con accesso a Internet che esegue Apache Log4j dalla versione 2.0 alla 2.14.1. Le versioni colpite sono incluse in Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo e VMware vCenter.
Patch e mitigazione
Per applicare una patch alla vulnerabilità, Apache ha inizialmente rilasciato la versione 2.15.0 di Apache Log4j. Tuttavia, questa versione funzionava solo con Java 8. Gli utenti delle versioni precedenti dovevano applicare e riapplicare mitigazioni temporanee. Al momento della pubblicazione, Apache ha rilasciato la versione 2.16.0 e ha consigliato agli utenti di aggiornare la loro libreria potenzialmente interessata il più rapidamente possibile.
Altre strategie di mitigazione come il patching virtuale e l'utilizzo di un sistema di riconoscimento/prevenzione delle intrusioni (IDS/IPS) sono fortemente incoraggiati. Le patch virtuali proteggono la vulnerabilità da ulteriori sfruttamenti, mentre l'IDS/IPS ispeziona il traffico in entrata e in uscita alla ricerca di comportamenti sospetti.
Log4Shell e gli Hacker
Accesso iniziale
Questa vulnerabilità è causata dal meccanismo di “lookup” presente in Log4j 2.x. Esso controlla la presenza dei caratteri ${ nei log e attiva la funzione “lookup”, consentendo utilizzi come le ricerche JNDI (ad esempio, ${jndi:logging/context-name}), che supportano protocolli come LDAP e RMI. Un attaccante può sfruttare un server LDAP con una classe Java dannosa per eseguire codice da remoto.
Esecuzione
Se l’exploit ha successo, il server interpreta la stringa di lookup ed è potenzialmente in grado di eseguire comandi arbitrari in formato Java, JavaScript o shell Unix.
Movimento laterale
Componenti come Cobeacon, noti per facilitare il movimento laterale e collegati a ransomware, possono essere scaricati.
Accesso alle credenziali
Malware come Kirabash può rubare credenziali esfiltrando i file /etc/passwd e /etc/shadow.
Impatto
I payload osservati includono la botnet Mirai e il coinminer Kinsing. Gli impatti includono:
Sfruttamento delle risorse: i coinminer consumano risorse del sistema; Mirai può utilizzare i sistemi infetti come parte di una botnet.
Denial of Service (DoS): Mirai può lanciare attacchi DDoS/DoS utilizzando sistemi compromessi.
L’Impatto di Log4Shell
Scoperta dai ricercatori di Alibaba il 24 novembre 2021, Log4Shell è stata classificata come una vulnerabilità critica con il punteggio CVSS massimo di 10.0. In quanto vulnerabilità zero-day nella libreria di logging Log4J, ampiamente utilizzata, ha rappresentato un rischio immediato e grave prima che fosse disponibile una patch.
La vasta diffusione di Log4J tra applicazioni web, servizi cloud e sistemi consumer ha reso vulnerabili oltre il 90% degli ambienti cloud. Molte organizzazioni non erano nemmeno consapevoli di essere esposte, poiché Log4J era utilizzato come dipendenza indiretta.
Ciò che rendeva Log4Shell particolarmente pericolosa era la sua facilità di sfruttamento: non erano richiesti permessi speciali. Gli aggressori potevano iniettare codice malevolo attraverso input pubblici come moduli di login o caselle di chat. Una volta attivato, il codice poteva passare payload ad altre parti del sistema.
Entro il 9 dicembre, era già emerso del codice di exploit pubblico e aziende di primo piano come Minecraft, Twitter e Cisco sono state colpite. Nel momento di massima attività, sono stati registrati oltre 100 attacchi al minuto a livello globale.
Gli attaccanti hanno sfruttato la vulnerabilità per distribuire botnet, cryptominer e ransomware (come Khonsari e Night Sky), e anche gruppi sponsorizzati da Stati come Cina e Corea del Nord sono stati osservati mentre la sfruttavano.
Trend Micro Vision One Platform
Fermare gli avversari più rapidamente e prendere il controllo del rischio informatico richiede un approccio unificato. La vulnerabilità diffusa di Log4J ha dimostrato quanto sia facile per gli aggressori sfruttare anche i componenti più semplici, rendendo essenziale una difesa proattiva e integrata.
Trend Vision One ti offre capacità di prevenzione, rilevamento e risposta basate sull’intelligenza artificiale, supportate da una threat intelligence all’avanguardia. Supporta ambienti IT ibridi, automatizza i flussi di lavoro della sicurezza e semplifica le operazioni, permettendoti di ridurre la complessità, colmare le lacune e restare un passo avanti alle minacce in evoluzione.
Apache Log4J
Ricerche correlate
Articoli correlati