Aggiornamento Alert GCSA-21132 - Vulnerabilita' nelle librerie Apache Log4j - Nuova patch

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

******************************************************************

Alert ID: GCSA-21132
Data: 18 Dicembre 2021
Titolo: Aggiornamento Alert - Vulnerabilita' nelle librerie Apache Log4j - Nuova patch

******************************************************************


:: Descrizione del problema

Purtroppo sono state riscontrate due nuove vulnerabilita' di livello
High (CVSS:7.5 e CVSS:8.5) nel pacchetto di librerie Log4j di Apache.
La prima vulnerabilita' non e' coperta dall'ultimo aggiornamento 2.16.0
e puo' causare sul sistema un denial of service.
La seconda vulnerabilita' riguarda la versione Apache Log4j 1.2, nella
funzione JMSAppender, che se sfruttata puo' consentire ad un attaccante
remoto di eseguire codice arbirario. Questa vulnerabilita' e' particolarmente
insidiosa poiche' funziona sia da remoto che da locale, attraverso WebSocket,
quindi il fatto che la macchina vulnerabile sia in una rete privata non garantisce
nessuna immunita'.

In entrambi i casi si raccomanda di aggiornare all'ultima versione 2.17.0

Per fare un riepilogo al momento sono 4 le vulnerabilita':
CVE-2021-44228 (CVSS:10)
CVE-2021-45046 (CVSS:10)
CVE-2021-45105 (CVSS:7.5) - new
CVE-2021-4104 (CVSS:8.5) - new - solo versione 1.2

Le vulnerabilita' hanno un impatto molto esteso, poiche' le librerie Log4j
sono ampiamente utilizzate da un enorme varieta' di sistemi e software,
sia open che closed, sia sviluppati in proprio.

Inoltre, data l'ampia superficie di attacco, si riscontra un notevole
incremento nella caccia di questi bug, tramite scansioni volte a
rilevare server vulnerabili, e nei tentativi di exploit.

Apache ha rilasciato una nuova ulteriore patch, e raccomandiamo la
massima priorita' nell'aggiornamento dei sistemi affetti, o nella
mitigazione, qualora non fosse possibile aggiornare.

Di seguito abbiamo aggiunto una sezione con ulteriori nuove informazioni
:: Ulteriori informazioni in continuo aggiornamento

Pensiamo che possano essere utili alla comunita' per essere aggiornati
sulle modalita' dello sfruttamento delle vulnerabilita', di come possiamo
accorgerci se siamo affetti, sia scansionando le macchine che attraverso
la lettura dei log.


:: Software interessato

Librerie Apache Log4j dalla versione 2.0-beta-9 fino alla 2.16

Nota: le versioni di Log4j v1 non sono piu' supportate e non riceveranno
aggiornamenti pur essendo vulnerabili anche ad ulteriori attacchi RCE
pertanto e' fortemente consigliato aggiornarle alla 2.17.0


:: Impatto

Denial of Service
Esecuzione da remoto di codice arbitrario


:: Soluzioni

Aggiornare le librerie Apache Log4j all'ultima versione 2.17.0
Aggiornare i sistemi affetti che utilizzino le librerie
https://logging.apache.org/log4j/2.x/download.html


:: Ulteriori informazioni in continuo aggiornamento

Numerose fonti e ricercatori di sicurezza ci informano che le vulnerabilita'
Apache Log4j sono intensamente sfruttate da attaccanti malevoli su larga scala.

Visto che la situazione e' in continuo sviluppo e aggiornamento, di seguito
alcune ulteriori informazioni che crediamo possano essere utili alla
comunita', oltre al bollettino GARR-CERT gia' pubblicato

https://www.cert.garr.it/it/alert/security-alerts/listid-1/mailid-2417-rettifica-alert-gcsa-21132-vulnerabilita-nelle-librerie-apache-log4j


Una buona notizia e' che ShadowServer si e' gia' attivato per produrre
due diversi tipi di report contenenti gli IP delle macchine affette
dalle vulnerabilita': un report basato su un sistema distribuito di
HoneyPot e un report basato su feed forniti da Alpha Strike Labs.
GARR-CERT, dal 15 dicembre, sta gia' segnalando le macchine della rete
GARR contenute in questi report.

Il quadro della situazione di ShadowServer, basato sulle loro HoneyPot,
ci dice che le vittime sono principalmente server fisici, ma anche IoT,
come telecamere di videosorveglianza, spesso le scansioni provengono
dalla rete Tor, il loro report, con i payload piu' gettonati, e' qua:
https://www.shadowserver.org/news/log4j-scanning-and-cve-2021-44228-exploitation-latest-observations-2021-12-16/
Informazioni dulla formazione dei due report di segnalazione
https://www.shadowserver.org/news/shadowserver-special-reports-vulnerable-log4j-servers/

Un altro tipo di analisi e' stata fatta da Q360, e ci dicono che le porte
principalmente sfruttate sono la 8081 e la 8983 (Apache Flink e Apache
Solr), e le vulnerabilita' sono sfruttate per installare malware sulle
vittime: Muhstik, Mirai, Elknot, vari crypto miner e altri.
https://blog.netlab.360.com/ten-families-of-malicious-samples-are-spreading-using-the-log4j2-vulnerability-now/

=== ATTENZIONE!
Una minaccia piuttosto grave e' stata rilevata da BitDefender, secondo cui
queste vulnerabilita' sono sfruttate contro macchine Windows per installare
una nuova famiglia di RansomWare: Khonsari
https://businessinsights.bitdefender.com/technical-advisory-zero-day-critical-vulnerability-in-log4j2-exploited-in-the-wild

Ulteriori dettagli su Khonsari
https://thehackernews.com/2021/12/hackers-exploit-log4j-vulnerability-to.html

=== Dettagli sulle due vulnerabilita' scoperte (CVE-2021-45105 e CVE-2021-4104)

https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html
https://thehackernews.com/2021/12/new-local-attack-vector-expands-attack.html
https://www.blumira.com/analysis-log4shell-local-trigger/


:: Cercare software affetto

Le applicazioni che potrebbero risultare vulnerabili sono moltissime
e non sempre facilmente rintracciabili. Di seguito qualche informazione
utile a rintracciarle:


=== Scansioni alla ricerca della vulnerabilita' ===

== NEW!
Da oggi sono disponibili su SCARR i plugin di scansione delle vulnerabilita'
Log4j, quindi gli utenti IDEM della comunita' GARR possono utilizzare SCARR
per trovare questi bug nella loro rete
Info
https://scarr.garr.it

- - Un elenco di software, curato da NCSC-NL (National Cybersecurity Center,
Ministero della Giustizia e Sicurezza olandese, https://english.ncsc.nl),
per scansionare la rete alla ricerca del bug:
https://github.com/NCSC-NL/log4shell/tree/main/scanning

NB: il software non e' testato/verificato direttamente dal NCSC-NL,
che ha solo curato la lista

- - La lista di NCSC-NL contiene anche il tool di scansione consigliato
da CIS - Center for Internet Security, citato nel precedente bollettino GARR-CERT
https://log4shell.huntress.com/

- - TrendMicro ha messo a disposizione direttamente una pagina web in
cui inserire direttamente i server o le URL da scansionare. Ci sono
varie opzioni di scansione e vari modi di testare la vulnerabilita':
https://log4j-tester.trendmicro.com/

=== Liste di software affetto ===

- - CISA (CyberSecurity and Infrastructure Security Agency - USA) ha
stilato una lista di software, in costante aggiornamento, che viene
scoperto essere affetto dalla vulnerabilita'. Inoltre le loro pagine
contengono molte informazioni di mitigazione/contenimento
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
https://github.com/cisagov/log4j-affected-db

- - Una lista di software affetto dalla vulnerabilita' e' distribuita
anche da NCSC-NL
https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

- - CERT-AgID ha creato una pagina web in cui basta mettere il nome di
un vendor o un software per recuperare tutte le versioni affette
dalla lista di NCSC-NL
https://cert-agid.gov.it/log4shell-software/


:: Detection degli attacchi

Di seguito alcuni strumenti per trovare tentativi di compromissione
nei log dei nostri sistemi

=== Sistemi Windows ===
Una trattazione approfondita della vulnerabilita' nei sistemi Microsoft,
dove si parla anche di attacchi altamente organizzati, si trova qua:
https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

=== Linea di comando ===
Comandi grep, zgrep e regole YARA per la detection nei log di sistema
https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

=== Regole per IPS/IPS ===
Regole Snort e Suricata
https://rules.emergingthreatspro.com/open/

=== IoC ===
Infine ricordiamo il sito di AgID che sta raccogliendo tutti gli indicatori
di compromissione (IoC) pubblici che si riescono a trovare, anche questo
in costante aggiornamento:

Info sugli IoC
https://cert-agid.gov.it/news/cert-agid-condivide-i-propri-ioc-per-la-mitigazione-degli-attacchi-log4shell/

Download IoC
https://cert-agid.gov.it/download/log4shell-iocs.txt


:: Riferimenti

Apache Log4j
https://logging.apache.org/log4j/2.x/security.html
https://logging.apache.org/log4j/2.x/download.html

Mitre's CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104



GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert




-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iEYEARECAAYFAmG99TEACgkQwZxMk2USYELL/wCgzYFAc5ye1ek1FEFp2Mn8571D
LVoAn2K+b8Zcj0Q5+r6d+ZSsw0jD5deI
=aE1q
-----END PGP SIGNATURE-----