CVE-2021-45046, CVE-2021-44228 Rilevamento: Vulnerabilità nella libreria Java Log4j
Indice:
Un altro fastidioso mal di testa per i team SOC — attenzione alla più calda vulnerabilità Log4j CVE-2021-45046! Il mondo della cybersecurity è stato appena scosso da un numero crescente di tentativi di sfruttamento per CVE-2021-44228, una vulnerabilità critica zero-day che colpisce la libreria di log Java Apache Log4j, mentre un’altro difetto RCE Log4j di alta severità identificato come CVE-2021-45046 fa la sua comparsa.
Descrizione CVE-2021-45046
L’ultima vulnerabilità CVE-2021-45046 è stata scoperta solo un giorno dopo il rilascio della versione 2.16.0 di Log4j il 14 dicembre, ricevendo un punteggio CVSS di 3,7. Successivamente, a causa dei rischi elevati valutati che presenta, ha ricevuto un impatto di sicurezza Critico con un punteggio drammaticamente aumentato a 9.0. Secondo l avviso della Apache Software Foundation, la vulnerabilità appena scoperta colpisce tutte le versioni di Log4j dalla 2.0-beta9 alla 2.15.0 (escludendo la 2.12.2).
Descrizione Log4Shell (СVE-2021-44228)
Un’altra famigerata vulnerabilità zero-day che è stata scoperta per la prima volta in Log4j, conosciuta come Log4Shell or LogJam, è un problema di esecuzione di codice remoto non autenticato che consente un compromesso completo del sistema. Il difetto è estremamente facile da sfruttare e con molti PoC che si diffondono online, diventa una questione banale per gli avversari. Di conseguenza, gli hacker possono lanciare attacchi di esecuzione di codice remoto per ottenere il pieno controllo sul server colpito.
L’analisi di CVE-2021-44228 mostra che tutti i sistemi che eseguono Log4j 2.0-beta9 fino alla 2.14.1 sono vulnerabili. Inoltre, poiché il problema di sicurezza impatta le configurazioni predefinite per la maggior parte dei framework Apache, come Apache Struts2, Apache Solr, Apache Druid, Apache Flink, una vasta gamma di software e app web utilizzati sia da aziende che da utenti individuali sono esposti agli attacchi.
Il team di sicurezza di Alibaba Cloud ha notato e segnalato la vulnerabilità ad Apache alla fine di novembre 2021. Notoriamente, inizialmente è stata identificata su server relativi a Minecraft, dove gli avversari hanno tentato di eseguire codice dannoso sui clienti che eseguivano la versione Java dell’estremamente popolare gioco. Dopo che la causa del problema è stata identificata in Log4j, i campioni di codice exploit hanno rapidamente cominciato a comparire online.
Attualmente, gli esperti di sicurezza stanno segnalando scansioni su Internet alla ricerca di sistemi vulnerabili. Inoltre, CERT New Zeland ha avvertito riguardo a molteplici sfruttamenti in-the-wild.
CVE-2021-44228: Rilevamento RCE di Log4j
Tutti gli utenti che utilizzano versioni vulnerabili di Log4j dovrebbero aggiornare a log4j-2.15.0-rc1 il più presto possibile. Inoltre, si incoraggiano le organizzazioni a monitorare qualsiasi attività dannosa associata a CVE-2021-44228 e a cercare anomalie che dimostrino di essere stati compromessi. Per migliorare il rilevamento tempestivo degli attacchi, il Team di SOC Prime ha creato un lotto di regole Sigma dedicate. I professionisti della sicurezza possono scaricare le regole dalla piattaforma Detection as Code di SOC Prime:
Modelli di rilevamento dello sfruttamento RCE di Log4j [CVE-2021-44228] (tramite webserver)
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix e Open Distro.
La regola è allineata con il più recente framework MITRE ATT&CK® v.10, affrontando la tattica di Accesso Iniziale con Exploit Public-Facing Application come tecnica principale (T1190).
Modelli di rilevamento dello sfruttamento RCE di Log4j [CVE-2021-44228] (tramite proxy)
Modelli di rilevamento dello sfruttamento RCE di Log4j [CVE-2021-44228] (tramite parole chiave)
Per aiutare le organizzazioni a rimanere costantemente in allerta, il Team di SOC Prime ha recentemente pubblicato l’ultima regola basata su Sigma per rilevare potenziali tentativi di sfruttamento di CVE-2021-44228. Questa regola rileva possibili schemi di sfruttamento di Log4j basati sui registri del proxy e il download di un file di classe dannoso che porta alla creazione di una shell bash inversa:
Possibile Caricamento di File di Classe Java Remoto Dannoso [Log4j/CVE-2021-44228] (tramite proxy)
CVE-2021-45046 Rilevamento e Mitigazione
Tutti gli utenti che utilizzano Java 8 o versioni successive dovrebbero aggiornare alla versione più recente Log4j 2.16.0, poiché le mitigazioni precedenti in Apache Log4j 2.15.0 sono risultate incomplete. Per aiutare le organizzazioni a rilevare CVE-2021-45046 e minimizzare i rischi di tentativi di exploit, il Team di SOC Prime ha recentemente rilasciato una regola basata su Sigma che identifica schemi di sfruttamento di Log4j e voci di log in qualsiasi file di log disponibile.
Modelli di rilevamento dello sfruttamento di Log4j [CVE-2021-45046] (tramite parole chiave)
Iscriviti gratuitamente alla piattaforma Detection as Code di SOC Prime per rilevare le minacce più recenti nel tuo ambiente di sicurezza, migliorare la tua sorgente di log e la copertura MITRE ATT&CK, e migliorare il tuo ROI per la cybersecurity. Gli esperti di sicurezza possono anche unirsi al nostro Threat Bounty Program per monetizzare il proprio contenuto di rilevamento.
