Arctic Wolf, una delle principali società di operazioni di sicurezza, ha reso pubblicamente disponibile su Github Disposal lo script di rilevamento Log4Shell Deep Scan per rilevare CVE-2021-45046 e CVE-2021-44228 nei file JAR, WAR e EAR. Lo script è già stato utilizzato con successo da più di 2.300 clienti Arctic Wolf in tutto il mondo.
Lo script, disponibile per dispositivi Windows, macOS e Linux, esegue una scansione approfondita dei file system degli host per identificare le applicazioni e le librerie Java con codice Log4j vulnerabile. Se viene rilevato il codice Log4j interessato, lo script lo contrassegna e restituisce la posizione di archiviazione all'interno del file system. Le aziende possono così identificare applicazioni e sistemi interessati dalla vulnerabilità Log4J.
Scarica "Log4Shell Deep Scan" su Github qui
Per ulteriori informazioni, vedere il file readme.txt correlato su GitHub. Arctic Wolf continua a invitare la comunità della sicurezza a sviluppare ulteriormente "Log4Shell Deep Scan" per i propri casi d'uso. Nessuna informazione viene raccolta da Arctic Wolf o inviata ad Arctic Wolf.
Perché usare Log4Shell Deep Scan?
Identificare tutte le istanze vulnerabili di Log4j all'interno di un'organizzazione è attualmente una sfida importante per i team IT e di sicurezza. L'aggiornamento della criticità dell'ultimo CVE-2021-45046 richiede una nuova scansione e l'applicazione di patch a sistemi e risorse.
Log4Shell Deep Scan dovrebbe essere utilizzato per integrare e non sostituire le soluzioni di scansione delle vulnerabilità basate sulla rete esistenti. Arctic Wolf consiglia alle aziende di eseguire lo strumento prima sui loro sistemi IT più critici e accessibili al pubblico e quindi di scansionare tutti gli altri sistemi, compresi i sistemi situati dietro un perimetro di sicurezza.
Mostrando quali applicazioni sono interessate e dove si trova ciascuna vulnerabilità, lo strumento consente ai team IT e di sicurezza di stabilire rapidamente le priorità e individuare tali vulnerabilità.
Le vulnerabilità di Log4j / Log4Shell vengono sfruttate a lungo termine
Arctic Wolf ha osservato un gran numero di attività di scansione relative alle vulnerabilità e agli attacchi di Log4j/Log4Shell in cui gli attori delle minacce tentano di diffondere malware crypto-miner. Anche gli attori delle minacce ransomware hanno iniziato a utilizzare attivamente Log4Shell come vettore di ingresso per i loro attacchi.
Arctic Wolf tiene traccia di diversi gruppi di aggressori noti, inclusi quelli provenienti da Cina, Iran, Corea del Nord e Turchia, che sfruttano la vulnerabilità Log4J. Questi e altri attori delle minacce sono attivi dalla scorsa settimana, dopo essere venuti a conoscenza di una vulnerabilità zero-day. Non appena l'attenzione del pubblico nelle aziende diminuirà, ci si può aspettare che ulteriori fasi e attività di attacco verranno eseguite dopo la compromissione iniziale, cosicché saranno necessari un'attenzione costante e un monitoraggio dettagliato della sicurezza, soprattutto nel prossimo futuro.
Quali sono le prospettive per Log4Shell?
Log4Shell ha tenuto in sospeso il mondo IT per una settimana e mezza. La situazione è in continua evoluzione ed è prevedibile che questa vulnerabilità e gli effetti associati preoccuperanno le aziende per molto tempo a venire. I team di sicurezza e ricerca e sviluppo di Arctic Wolf hanno quindi sviluppato strumenti di rilevamento aggiuntivi basati sui nuovi metodi (ad esempio TTP) che potrebbero essere utilizzati dagli aggressori. Ciò include anche il rilevamento delle variazioni dei metodi di attacco Log4J e il riconoscimento immediato, il contenimento e l'eliminazione degli exploit riusciti.
Si può presumere che i sofisticati attori delle minacce stiano utilizzando la diffusa scansione Log4J e gli attacchi alle merci per "volare sotto il radar" con le loro attività al fine di compromettere obiettivi di alto livello. Inoltre, ci si può aspettare che nel prossimo futuro ci saranno molti più casi di ransomware che monetizzeranno gli attacchi Log4j riusciti. Per ulteriori informazioni sull'impatto di Log4Shell, vedere il webinar su richiesta di Arctic Wolf.
Altro su ArcticWolf.com
A proposito di lupo artico
Arctic Wolf® è un leader globale nelle operazioni di sicurezza e fornisce la prima piattaforma di operazioni di sicurezza cloud-native per difendersi dai rischi informatici. Sulla base della telemetria delle minacce che copre endpoint, rete e fonti cloud, Arctic Wolf® Security Operations Cloud analizza più di 1,6 trilioni di eventi di sicurezza alla settimana in tutto il mondo. Fornisce informazioni critiche per l'azienda su quasi tutti i casi d'uso della sicurezza e ottimizza le soluzioni di sicurezza eterogenee dei clienti. La piattaforma Arctic Wolf® è utilizzata da oltre 2.000 clienti in tutto il mondo. Fornisce rilevamento e risposta automatizzati alle minacce, consentendo alle organizzazioni di tutte le dimensioni di impostare operazioni di sicurezza di livello mondiale con la semplice pressione di un pulsante.