A dicembre 2021, la comunità della sicurezza informatica è stata scossa dalla scoperta di una delle vulnerabilità più gravi e diffuse degli ultimi tempi: Log4Shell o CVE-2021-44228. Questa falla critica nel popolare logger Java Apache Log4j ha aperto la porta a una vasta gamma di attacchi informatici, mettendo a rischio milioni di server in tutto il mondo.

In questo articolo, esploreremo cosa rende Log4Shell così pericolosa, come funziona e, soprattutto, perché a distanza di due anni questa vulnerabilità fa ancora così paura

vulnerabilità CVE-2021-44228 o Log4Shell
  1. Cos’è la vulnerabilità Log4Shell o CVE-2021-44228
  2. Dove si annida la vulnerabilità Log4Shell
  3. Quali sono le applicazioni e plug in vulnerabili?
  4. Come funziona l’attacco?
  5. Mitigare la vulnerabilità

Cos’è la vulnerabilità Log4Shell o CVE-2021-44228?

Log4Shell è una vulnerabilità critica del software Apache Log4j, un popolare framework di logging per applicazioni Java.

Identificata come CVE-2021-44228, questa vulnerabilità si manifesta quando il componente di log parsing di Log4j elabora stringhe contenenti comandi JNDI (Java Naming and Directory Interface).

Gli aggressori possono sfruttare questa vulnerabilità per eseguire codice arbitrario a distanza iniettando comandi JNDI malevoli nei messaggi di log.
Dal momento che Log4j è ampiamente utilizzato in varie applicazioni Java, questa vulnerabilità ha un impatto significativo sulla sicurezza globale, rendendo milioni di sistemi suscettibili a attacchi informatici.

Dove si annida la vulnerabilità Log4Shell

La vulnerabilità Log4Shell si annida nel componente di log parsing di Apache Log4j, un framework di logging per applicazioni Java.
Questa vulnerabilità si verifica quando Log4j elabora messaggi di log che contengono riferimenti JNDI (Java Naming and Directory Interface).

Quali sono le applicazioni e plug in vulnerabili?

La vulnerabilità Log4Shell ha interessato un’ampia gamma di prodotti e applicazioni software, a causa dell’uso diffuso del framework Apache Log4j.
Tra i prodotti e le aziende rilevanti colpiti, possiamo menzionare:

  • Diverse soluzioni Symantec, tra cui CA Advanced Authentication e Symantec Endpoint Protection Manager.
  • Prodotti in varie categorie di CIsco, inclusi dispositivi di sicurezza di rete e applicazioni di gestione di rete.
  • ConnectWise: il servizio cloud Perch ha mostrato vulnerabilità attraverso componenti di terze parti.
  • cPanel: vulnerabilità riscontrate solo in presenza del plugin cPanel Solr.
  • Immagini ufficiali Docker che utilizzano una versione vulnerabile di Log4j.
  • F-Secure: prodotti Windows e Linux, come Policy Manager e Elements Connector.
  • Alcune versioni di WebSphere Application Server.
  • Juniper Networks: diversi prodotti, inclusi Paragon Active Assurance e Paragon Pathfinder.
  • MongoDB Atlas Search necessitava di una patch.
  • Molti prodotti VMware sono stati colpiti dalla vulnerabilità.

Questo elenco non è esaustivo, ma dà un’idea dell’ampio spettro di applicazioni e piattaforme che sono state influenzate dalla vulnerabilità Log4Shell.

Come funziona l’attacco?

L’attacco che sfrutta la presenza della vulnerabilità Log4Shell avviene quando un aggressore inietta una stringa malevola, specificamente formattata, nei messaggi di log di un’applicazione che utilizza Apache Log4j. Questa stringa, solitamente, contiene un riferimento LDAP con un server controllato dall’aggressore. Quando Log4j elabora questo messaggio, il riferimento JNDI viene risolto e connesso al server LDAP esterno. Questo permette all’aggressore di caricare e eseguire codice Java arbitrario sul server bersaglio, portando a conseguenze come l’esecuzione di comandi remoti, il furto di dati sensibili, e l’installazione di malware.

Mitigare la vulnerabilità

Per mitigare la vulnerabilità Log4Shell, è essenziale aggiornare immediatamente alla versione più recente e sicura di Apache Log4j.

Inoltre, è consigliabile disattivare l’interpretazione JNDI nelle configurazioni Log4j ove possibile. È importante implementare un monitoraggio dei log per identificare eventuali tentativi di sfruttamento dell’attacco. Adottare un approccio di sicurezza a strati, che includa firewall e sistemi di rilevazione e prevenzione delle intrusioni, contribuisce ulteriormente a rafforzare la sicurezza.

Infine, una revisione e aggiornamento regolari delle politiche e delle pratiche di sicurezza informatica sono cruciali per prevenire vulnerabilità simili in futuro.

Vulnerability Assessment e Log4Shell

L’importanza dei servizi di vulnerability assessment diventa particolarmente evidente in situazioni come l’emergere della vulnerabilità Log4Shell. Questa vulnerabilità, per la sua natura pervasiva e il potenziale impatto elevato, evidenzia il bisogno critico di avere sistemi di valutazione della vulnerabilità efficaci e proattivi.

La vulnerabilità Log4Shell ha colpito una vasta gamma di applicazioni e servizi su scala globale.
In scenari del genere, i servizi di vulnerability assessment giocano un ruolo cruciale. Questi servizi, che esaminano sistematicamente le reti e le applicazioni per rilevare e classificare le vulnerabilità, sono essenziali per identificare tempestivamente i rischi di sicurezza.

Un assessment efficace avrebbe potuto identificare l’uso del componente Log4j e la sua versione, facilitando la rapida individuazione delle istanze vulnerabili. Inoltre, un’analisi approfondita avrebbe potuto rivelare il rischio di attacchi di iniezione di codice, consentendo agli amministratori di sistema di intraprendere azioni preventive prima che gli aggressori potessero sfruttare la vulnerabilità.