Aggiornamento Alert GCSA-21132 - Vulnerabilita' nelle librerie Apache Log4j - Ancora una nuovo RCE/patch

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1






******************************************************************

Alert ID: GCSA-21132
Data: 14, 18 e 29 Dicembre 2021
Titolo: Aggiornamento Alert - Vulnerabilita' nelle librerie Apache Log4j - Ancora una nuovo RCE/patch

******************************************************************


:: Descrizione del problema

E' stata riscontrata una nuova ulteriore vulnerabilita' nell'ultima
versione di Apache log4j 2.17.0.

La vulnerabilita' puo' essere sfruttata da un attaccante che abbia i
privilegi di modifica sulla configurazione di logging, tramite il modulo
JDBC appender e un JNDI URI che puo' eseguire codice, e consente l'esecuzione
da remoto di codice arbitrario (RCE)

In questo caso la vulnerabilita' e' un po' piu' difficile da sfruttare,
perche' necessita di un utente che abbia privilegi di modifica della
configurazione, per questo ha uno score CVSS:6.6 (Moderate), ancora provvisorio.

Si raccomanda comunque di aggiornare con massima priorita' all'ultima
versione 2.17.1

Per fare un riepilogo al momento sono 5 le vulnerabilita':
CVE-2021-44228 (CVSS:10)
CVE-2021-45046 (CVSS:10)
CVE-2021-45105 (CVSS:7.5)
CVE-2021-4104 (CVSS:8.5)
CVE-2021-44832 (CVSS:6.6 provvisorio) - new

Le vulnerabilita' hanno un impatto molto esteso, poiche' le librerie Log4j
sono ampiamente utilizzate da un enorme varieta' di sistemi e software,
sia open che closed, sia sviluppati in proprio.

Inoltre, data l'ampia superficie di attacco, si riscontra un notevole
incremento nella caccia di questi bug, tramite scansioni volte a
rilevare server vulnerabili, e nei tentativi di exploit.

Apache ha rilasciato una nuova ulteriore patch, e raccomandiamo la
massima priorita' nell'aggiornamento dei sistemi affetti, o nella
mitigazione, qualora non fosse possibile aggiornare.

Di seguito abbiamo aggiunto una sezione con ulteriori nuove informazioni
:: Ulteriori informazioni in continuo aggiornamento

Pensiamo che possano essere utili alla comunita' per essere aggiornati
sulle modalita' dello sfruttamento delle vulnerabilita', di come possiamo
accorgerci se siamo affetti, sia scansionando le macchine che attraverso
la lettura dei log.


:: Software interessato

Librerie Apache Log4j dalla versione 2.0-beta7 fino alla 2.17.0

Nota: le versioni di Log4j v1 non sono piu' supportate e non riceveranno
aggiornamenti pur essendo vulnerabili anche ad ulteriori attacchi RCE
pertanto e' fortemente consigliato aggiornarle alla 2.17.1


:: Impatto

Esecuzione da remoto di codice arbitrario (RCE)


:: Soluzioni

Aggiornare le librerie Apache Log4j all'ultima versione disponibile:

Apache log4j 2.17.1 - Per Java 8 e superiori
Apache log4j 2.12.4 - Per Java 7
Apache Log4j 2.3.2 - Per Java 6

Aggiornare i sistemi affetti che utilizzino le librerie
https://logging.apache.org/log4j/2.x/download.html


:: Ulteriori informazioni in continuo aggiornamento

Numerose fonti e ricercatori di sicurezza ci informano che le vulnerabilita'
Apache Log4j sono intensamente sfruttate da attaccanti malevoli su larga scala.

Visto che la situazione e' in continuo sviluppo e aggiornamento, di seguito
alcune ulteriori informazioni che crediamo possano essere utili alla
comunita', oltre ai bollettini GARR-CERT gia' pubblicati in cui trovare
numerosi riferimenti

https://www.cert.garr.it/it/alert/security-alerts/listid-1/mailid-2417-rettifica-alert-gcsa-21132-vulnerabilita-nelle-librerie-apache-log4j

https://www.cert.garr.it/alert/security-alerts/listid-1/mailid-2422-aggiornamento-alert-gcsa-21132-vulnerabilita-nelle-librerie-apache-log4j-nuova-patch


=== NEW in "Detection"

Ci sono a disposizione due nuovi strumenti per scansionare la vulnerabilita':

1) Moduli NSE appositi per nmap
https://github.com/Diverto/nse-log4shell

2) Un tool che dovrebbe riconoscere tutti i CVE contemporaneamente
https://github.com/logpresso/CVE-2021-44228-Scanner


:: Riferimenti

Apache Log4j
https://logging.apache.org/log4j/2.x/security.html
https://logging.apache.org/log4j/2.x/download.html

CSIRT Italia
https://csirt.gov.it/contenuti/sanata-una-nuova-vulnerabilita-per-apache-log4j-al01-211229-csirt-ita

Openwall - oss-security
https://www.openwall.com/lists/oss-security/2021/12/28/1

Mitre's CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832




GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert





-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iEYEARECAAYFAmHMLZ8ACgkQwZxMk2USYEJX5ACeI/bqzSlpKrwKF//rezC3a1pW
OoIAmgPW2dJwHq48OfyToaJWh7wKJiOQ
=sPKb
-----END PGP SIGNATURE-----