vulnerability assessment di cerbeyra

Vulnerability Assessment di Cerbeyra: Trova la Vulnerabilità Log4shell

Recentemente, è stata trovata una vulnerabilità che affligge una libreria di Apache chiamata Log4j. Questa vulnerabilità permette a chiunque abbia un po’ di dimestichezza di attaccare una quantità enorme di servizi Internet ed Aziende.

Ovvero, i server ed i prodotti che usano Java sono attaccabili se in grado di ricevere dati da Internet, senza bisogno di credenziali o di accesso alla rete interna.

Il CSIRT, Computer Security Incident Response Team-Italia , guidato dall’Agenzia per la Cybersicurezza Nazionale ha lanciato l’allarme nei giorni scorsi.

Indicando: ” E’ stato rilasciato un Proof of Concept (PoC) per la vulnerabilità con gravità “critica” identificata dalla CVE-2021-44228, relativa al prodotto Apache Log4j. Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO”

Come si sfrutta la Vulnerabilità Log4shell?

La vulnerabilità che risiede nel modulo di messaggistica, consente l’esecuzione di codice arbitrario da remoto sul server che utilizza la libreria Log4j. Consiste in un pacchetto e/o libreria java-based utilizzato per fornire capacità di logging a strumenti ed applicazioni. Per cui, la vulnerabilità denominata Log4sehll se sfruttata porta alla completa compromissione dello stesso senza necessità di autenticazione.

Detto in altri termini, gli aggressori, che non necessitano di un accesso preventivo al sistema, possono inviare una richiesta https malformata tramite una stringa appositamente predisposta. Lo scopo è generare un log su Log4j con l’obiettivo di registrare la stringa dannosa nel registro dell’applicazione

Ma non solo, questa vulnerabilità può ad esempio portare l’applicazione ad effettuare una richiesta verso un dominio dannoso per eseguire un payload malevolo.

Infine, la preoccupazione è dovuta alle attività malevole che sfruttando la vulnerabilità possono eseguire attacchi anche nel lungo periodo oltre che su larga scala.

Come trovare la vulnerabilità Log4shell?

Per capire se uno o più dispositivi sono affetti da questa vulnerabilità il primo passo è effettuare un Vulnerabiliti Assessment sul perimetro digitale esterno delle infrastrutture di comunicazione di un’azienda.

Così, tramite la scansione del perimetro esterno e successivamente scansionando anche il perimetro interno, si è certi di scovare il o i dispositivi che hanno tale vulnerabilità.

Ciò che spesso limita le attività di Assessment è la frequenza. Log4shell ha evidenziato la capacità di mutare velocemente delle vulnerabilità. Perciò un sistema di reti oggi non vulnerabile, tra qualche giorno potrebbe essere vulnerabile.

Vulnerability Assessment di Cerbeyra

Quello che caratterizza il vulnerability assessment di Cerbeyra è che, per assicurare il completo controllo dell’infrastruttura e dell’organizzazione di un’azienda effettua un monitoraggio continuo.

Cerbeyra ha un approccio h24 per 365 giorni l’anno. Quindi, una volta avviata la scansione, è possibile far sì che sia eseguita senza soluzione di continuità.

In questo l’analisi dell’intera infrastruttura aziendale sia esterna (direttamente dalla piattaforma cloud, attraverso i servizi di scansione disponibili), sia interna attraverso l’utilizzo di una sonda, è continuativa.

Questa azione continua permette di individuare rapidamente le nuove vulnerabilità come quelle 0 Day vulnerability che è il caso di Log4shell.

Azione di mitigazione su consiglio del CSIRT

Una volta verificato con Vulnerability Assessment la presenza della vulnerabilità, il CSIRT consiglia di installare Log4j 2 nella versione 2.15.0 o e qualora non fosse possibile, ridurre la superficie di attacco:

  1. impostare ed aggiungere:

Impostare il seguente parametro di avvio della propria Java Virtual Machine(jvm): log4j2.formatMsgNoLookups=true

Aggiungere il file di configurazione log4j2.component.properties nel classpath dell’applicazione, il contenuto del file è: LOG4J_FORMAT_MSG_NO_LOOKUPS=true

2. rimuovere la classe JndiLookup dal path delle classi:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

3. Impostare le seguenti proprietà in Java 8u121

com.sun.jndi.rmi.object.trustURLCodebase

com.sun.jndi.cosnaming.object.trustURLCodebase=false