Un exploit zero day è stato scoperto nella popolare libreria di logging Java log4j (versione 2): la vulnerabilità è stata soprannominata Log4Shell dalla società di security LunaSec.
I credit per la scoperta di questo exploit sono attribuiti a Chen Zhaojun dell’Alibaba Cloud Security Team.
Sul proprio blog, LunaSec ha spiegato che l’exploit porta al Remote Code Execution (RCE) attraverso la registrazione nel log di una determinata stringa.
Siccome questa libreria è praticamente onnipresente, l’effetto dell’exploit – che può causare il controllo completo del server da parte di un aggressore – e quanto sia facile da sfruttare, l’impatto di questa vulnerabilità è considerata grave.
Sono molti (e molto popolari) i servizi che sarebbero vulnerabili a questo exploit.
Servizi cloud come Steam, Apple iCloud, e applicazioni come Minecraft sono già risultati vulnerabili, hanno messo in evidenza gli esperti di cybersecurity di LunaSec, che avvisano: chiunque usi Apache Struts è probabilmente vulnerabile.
La lista potrebbe dunque essere molto più lunga e tutte le principali aziende del settore si sono subito allertate per trovare una soluzione e supportare i clienti nell’affrontare e mitigare la minaccia.
Tra queste, ad esempio, Google Cloud, Cisco, Cloudflare, Microsoft, Aws e tante altre. È opportuno verificare con il proprio fornitore di servizi quali sono gli strumenti e le precauzioni da adottare.
Il già citato post di LunaSec contiene inoltre informazioni preziose e numerosi link a risorse utili per conoscere e difendersi dalla minaccia.
Nel frattempo, Apache Software Foundation ha rilasciato una patch di sicurezza per la vulnerabilità scoperta nella libreria Log4j.
Cloudflare, tra gli altri, ha avvisato che questa vulnerabilità è attivamente sfruttata e chiunque usi Log4j dovrebbe aggiornare alla versione 2.15.0 il prima possibile.
Infatti – ha evidenziato ancora Cloudflare – in tutte le versioni di Log4j >= 2.0-beta9 e <= 2.14.1 le funzioni JNDI usate nella configurazione, nei messaggi di log e nei parametri possono essere sfruttate da un aggressore per eseguire codice in remoto.
In particolare, un cyber-attacker che può controllare i messaggi di log o i parametri dei messaggi di log può eseguire codice arbitrario caricato dai server LDAP quando la message lookup substitution è abilitata.
Log4Shell, l’opinione degli esperti
Secondo Paul Ducklin, principal researcher di Sophos, tecnologie come IPS, WAF e il filtraggio intelligente della rete stanno contribuendo a riportare sotto controllo questa vulnerabilità ma l’elevato numero di modalità diverse in cui il ‘trigger text’ di Log4Shell può essere codificato, la varietà di punti nel traffico di rete in cui queste stringhe possono apparire così come la grande varietà di server e servizi che potrebbero essere colpiti, stanno rendendo particolarmente complesso affrontare questa minaccia. La risposta migliore è semplice e chiara: applicare patch o mitigare i propri sistemi immediatamente.
Come evidenziato da Sean Gallagher, senior threat researcher di Sophos, dal 9 dicembre Sophos ha rilevato centinaia di migliaia di tentativi di eseguire codice da remoto utilizzando la vulnerabilità Log4Shell. Inizialmente, questi erano test di exploit Proof-of-Concept (PoC) da parte di ricercatori di sicurezza e potenziali cybercriminali, tra gli altri, così come molte scansioni online per la vulnerabilità. Questo è stato rapidamente seguito da tentativi di installare cryptominer, tra cui la botnet Kinsing. Le informazioni più recenti suggeriscono che gli aggressori stiano cercando di sfruttare la vulnerabilità per esporre le chiavi utilizzate dagli account Amazon Web Service. Ci sono anche segni di cybercriminali che cercano di sfruttare la vulnerabilità per installare strumenti di accesso remoto nelle reti delle vittime, forse Cobalt Strike, uno strumento chiave in molti attacchi ransomware.
Evgeny Lopatin, esperto di sicurezza di Kaspersky ha commentato «Ciò che rende questa vulnerabilità particolarmente pericolosa non è solo il fatto che gli attaccanti possono ottenere il controllo completo del sistema, ma quanto sia facile da sfruttare. Anche un hacker inesperto può trarne vantaggio. Stiamo già osservando, infatti, che i cyber criminali cercano attivamente software da sfruttare con questo CVE. Tuttavia, la buona notizia è che una soluzione di sicurezza affidabile è in grado di proteggere gli utenti.»
