Alert GCSA-21132 - Vulnerabilita' nelle librerie Apache Log4j

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1





******************************************************************

Alert ID: GCSA-21132
Data: 14 Dicembre 2021
Titolo: Vulnerabilita' nelle librerie Apache Log4j

******************************************************************


:: Descrizione del problema

E' stata riscontrata una vulnerabilita' critica (CVSS:10.0) nel
pacchetto di librerie Log4j di Apache. Questa vulnerabilita' consente
ad un attaccante remoto, senza nessuna autenticazione, di poter eseguire
codice arbitrario su un sistema che ne sia affetto, portandolo alla
completa compromissione.
La vulnerabilita' ha un impatto molto esteso, poiche' le librerie Log4j
sono ampiamente utilizzate da un enorme varieta' di sistemi e software,
sia open che closed, sia sviluppati in proprio.

Inoltre, data l'ampia superficie di attacco, si riscontra un notevole
incremento nella caccia di questo bug, tramite scansioni volte a rilevare
server vulnerabili, e nei tentativi di exploit.

Apache ha rilasciato una patch, e raccomandiamo la massima priorita'
nell'aggiornamento dei sistemi affetti, o nella mitigazione, qualora
non fosse possibile aggiornare.

Ci preme precisare per la comunita' GARR che Shibboleth non e' affetto
dalla vulnerabilita', poiche' nella versione di default non usa le librerie
Log4j (usa jetty/logback), ma sono affette le entita' con installazioni
custom basate su tomcat/log4j (v. sezione Software Interessato).


:: Software interessato

Librerie Apache Log4j dalla versione 2.0-beta-9 fino alla 2.16

Nota: le versioni di Log4j v1 non sono piu' supportate e non riceveranno
aggiornamenti pur essendo vulnerabili anche ad ulteriori attacchi RCE
pertanto e' fortemente consigliato aggiornarle alla 2.16.0

Queste librerie sono utilizzate da numerosi software di terze parti,
rendendo vulnerabili anche le macchine che li utilizzino. Una lista di
software affetto dal problema, in continuo aggiornamento, si puo' trovare
a questi indirizzi:

https://github.com/NCSC-NL/log4shell/tree/main/software
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Per quanto riguarda Shibboleth
https://shibboleth.net/pipermail/announce/2021-December/000253.html


:: Impatto

Esecuzione di codice arbitrario da remoto e senza autenticazione
Compromissione di un sistema


:: Soluzioni

Aggiornare le librerie Apache Log4j all'ultima versione 2.15.0
Aggiornare i sistemi affetti che utilizzino le librerie

Ove non sia possibile aggiornare all'ultima versione, alcuni suggerimenti
di CSIRT Italia per la mitigazione e la riduzione della superficie di attacco:

1. impostare le seguenti proprietà:

log4j2.formatMsgNoLookups=true
LOG4J_FORMAT_MSG_NO_LOOKUPS=true

2. rimuovere la classe JndiLookup dal path delle classi

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

3. Impostare le seguenti proprietà in Java 8u121:

com.sun.jndi.rmi.object.trustURLCodebase
com.sun.jndi.cosnaming.object.trustURLCodebase=false


- - Esistono anche numerosi modi di controllare nei propri log se esistono
attacchi di questo tipo ai nostri server, di seguito alcune informazioni
per cercare nei log e controllare gli IoC:

Regole YARA:
https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

Comandi linux per scansionare la /var/log
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi)://[^\n]+' /var/log
sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i '\$\{jndi:(ldap[s]?|rmi)://[^\n]+'

Windows

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

fail2ban:
https://github.com/atnetws/fail2ban-log4j

- - Esistono inoltre diversi sistemi per scansionare i propri server alla
ricerca della vulnerabilita', citiamo Huntress Log4Shell Vulnerability Tester,
consigliato da CIS - Center for Internet Security
https://log4shell.huntress.com/

- - Infine una lista di IoC, anche questa in continuo aggiornamento,
compilata da CERT AgID
https://cert-agid.gov.it/news/cert-agid-condivide-i-propri-ioc-per-la-mitigazione-degli-attacchi-log4shell/


:: Riferimenti

I riferimenti sono numerosissimi e in costante aggiornamento, una lista
di quelli che consideriamo essenziali:

Apache Log4j
https://logging.apache.org/log4j/2.x/security.html
https://logging.apache.org/log4j/2.x/download.html

NIST
https://nvd.nist.gov/vuln/detail/CVE-2021-44228

CIS - Center for Internet Security
https://www.cisecurity.org/advisory/a-vulnerability-in-apache-log4j-could-allow-for-arbitrary-code-execution_2021-158/

CSIRT Italia
https://csirt.gov.it/contenuti/vulnerabilita-log4shell-cve-2021-44228-aggiornamento-bl02-211212-csirt-ita

CERT AgID
https://cert-agid.gov.it/news/cert-agid-condivide-i-propri-ioc-per-la-mitigazione-degli-attacchi-log4shell/

SANS Internet Storm Center
https://isc.sans.edu/diary/28120

LunaaSec
https://www.lunasec.io/docs/blog/log4j-zero-day/

Mitre's CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228






GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert





-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iEYEARECAAYFAmG4lkkACgkQwZxMk2USYEKbWgCfb8nVFvlQmKPQeTA8IWUK0bCk
TtcAni81DcM2RoE+bJKNwh50TqF6lX5+
=E1uh
-----END PGP SIGNATURE-----