Rettifica - Alert GCSA-21132 - Vulnerabilita' nelle librerie Apache Log4j
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-21132
Data: 14 Dicembre 2021
Titolo: Vulnerabilita' nelle librerie Apache Log4j - Rettifica
******************************************************************
Come gentilmente segnalato da un utente, che ringraziamo,
nel bollettino in oggetto e' presente un errore sull'indicazione
delle versioni di Log4j:
Nella sezione: Software interessato
"Librerie Apache Log4j dalla versione 2.0-beta-9 fino alla 2.16"
diventa:
"Librerie Apache Log4j dalla versione 2.0-beta-9 fino alla 2.15"
Nella sezione: Soluzioni
"Aggiornare le librerie Apache Log4j all'ultima versione 2.15.0"
diventa:
"Aggiornare le librerie Apache Log4j all'ultima versione 2.16.0"
Di seguito il bollettino tutto intero corretto.
Ci scusiamo per il disagio
:: Descrizione del problema
E' stata riscontrata una vulnerabilita' critica (CVSS:10.0) nel pacchetto
di librerie Log4j di Apache. Questa vulnerabilita' consente ad un attaccante
remoto, senza nessuna autenticazione, di poter eseguire codice arbitrario su
un sistema che ne sia affetto, portandolo alla completa compromissione.
La vulnerabilita' ha un impatto molto esteso, poiche' le librerie Log4j sono
ampiamente utilizzate da un enorme varieta' di sistemi e software, sia open
che closed, sia sviluppati in proprio.
Inoltre, data l'ampia superficie di attacco, si riscontra un notevole
incremento nella caccia di questo bug, tramite scansioni volte a
rilevare server vulnerabili, e nei tentativi di exploit.
Apache ha rilasciato una patch, e raccomandiamo la massima priorita'
nell'aggiornamento dei sistemi affetti, o nella mitigazione, qualora
non fosse possibile aggiornare.
Ci preme precisare per la comunita' GARR che Shibboleth non e' affetto
dalla vulnerabilita', poiche' nella versione di default non usa le
librerie Log4j (usa jetty/logback), ma sono affette le entita' con
installazioni custom basate su tomcat/log4j (v. sezione Software Interessato).
:: Software interessato
Librerie Apache Log4j dalla versione 2.0-beta-9 fino alla 2.15
Nota: le versioni di Log4j v1 non sono piu' supportate e non riceveranno
aggiornamenti pur essendo vulnerabili anche ad ulteriori attacchi RCE pertanto
e' fortemente consigliato aggiornarle alla 2.16.0
Queste librerie sono utilizzate da numerosi software di terze parti, rendendo
vulnerabili anche le macchine che li utilizzino. Una lista di software
affetto dal problema, in continuo aggiornamento, si puo' trovare a
questi indirizzi:
https://github.com/NCSC-NL/log4shell/tree/main/software
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Per quanto riguarda Shibboleth
https://shibboleth.net/pipermail/announce/2021-December/000253.html
:: Impatto
Esecuzione di codice arbitrario da remoto e senza autenticazione
Compromissione di un sistema
:: Soluzioni
Aggiornare le librerie Apache Log4j all'ultima versione 2.16.0
Aggiornare i sistemi affetti che utilizzino le librerie
Ove non sia possibile aggiornare all'ultima versione, alcuni suggerimenti
di CSIRT Italia per la mitigazione e la riduzione della superficie di attacco:
1. impostare le seguenti proprietà:
log4j2.formatMsgNoLookups=true
LOG4J_FORMAT_MSG_NO_LOOKUPS=true
2. rimuovere la classe JndiLookup dal path delle classi
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
3. Impostare le seguenti proprietà in Java 8u121:
com.sun.jndi.rmi.object.trustURLCodebase
com.sun.jndi.cosnaming.object.trustURLCodebase=false
- - Esistono anche numerosi modi di controllare nei propri log se esistono
attacchi di questo tipo ai nostri server, di seguito alcune informazioni
per cercare nei log e controllare gli IoC:
Regole YARA:
https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
Comandi linux per scansionare la /var/log
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi)://[^\n]+' /var/log
sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i '\$\{jndi:(ldap[s]?|rmi)://[^\n]+'
Windows
https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
fail2ban:
https://github.com/atnetws/fail2ban-log4j
- - Esistono inoltre diversi sistemi per scansionare i propri server alla ricerca
della vulnerabilita', citiamo Huntress Log4Shell Vulnerability Tester,
consigliato da CIS - Center for Internet Security
https://log4shell.huntress.com/
- - Infine una lista di IoC, anche questa in continuo aggiornamento,
compilata da CERT AgID
https://cert-agid.gov.it/news/cert-agid-condivide-i-propri-ioc-per-la-mitigazione-degli-attacchi-log4shell/
:: Riferimenti
I riferimenti sono numerosissimi e in costante aggiornamento, una lista
di quelli che consideriamo essenziali:
Apache Log4j
https://logging.apache.org/log4j/2.x/security.html
https://logging.apache.org/log4j/2.x/download.html
NIST
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
CIS - Center for Internet Security
https://www.cisecurity.org/advisory/a-vulnerability-in-apache-log4j-could-allow-for-arbitrary-code-execution_2021-158/
CSIRT Italia
https://csirt.gov.it/contenuti/vulnerabilita-log4shell-cve-2021-44228-aggiornamento-bl02-211212-csirt-ita
CERT AgID
https://cert-agid.gov.it/news/cert-agid-condivide-i-propri-ioc-per-la-mitigazione-degli-attacchi-log4shell/
SANS Internet Storm Center
https://isc.sans.edu/diary/28120
LunaaSec
https://www.lunasec.io/docs/blog/log4j-zero-day/
Mitre's CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iEYEARECAAYFAmG4uyIACgkQwZxMk2USYEJFSQCeJtE265lw7xBSIXDLSQ7J+KDZ
ckYAn0IROZ8THFwnjym+yQQ3Y7x/Lcml
=3Fqe
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-21132
Data: 14 Dicembre 2021
Titolo: Vulnerabilita' nelle librerie Apache Log4j - Rettifica
******************************************************************
Come gentilmente segnalato da un utente, che ringraziamo,
nel bollettino in oggetto e' presente un errore sull'indicazione
delle versioni di Log4j:
Nella sezione: Software interessato
"Librerie Apache Log4j dalla versione 2.0-beta-9 fino alla 2.16"
diventa:
"Librerie Apache Log4j dalla versione 2.0-beta-9 fino alla 2.15"
Nella sezione: Soluzioni
"Aggiornare le librerie Apache Log4j all'ultima versione 2.15.0"
diventa:
"Aggiornare le librerie Apache Log4j all'ultima versione 2.16.0"
Di seguito il bollettino tutto intero corretto.
Ci scusiamo per il disagio
:: Descrizione del problema
E' stata riscontrata una vulnerabilita' critica (CVSS:10.0) nel pacchetto
di librerie Log4j di Apache. Questa vulnerabilita' consente ad un attaccante
remoto, senza nessuna autenticazione, di poter eseguire codice arbitrario su
un sistema che ne sia affetto, portandolo alla completa compromissione.
La vulnerabilita' ha un impatto molto esteso, poiche' le librerie Log4j sono
ampiamente utilizzate da un enorme varieta' di sistemi e software, sia open
che closed, sia sviluppati in proprio.
Inoltre, data l'ampia superficie di attacco, si riscontra un notevole
incremento nella caccia di questo bug, tramite scansioni volte a
rilevare server vulnerabili, e nei tentativi di exploit.
Apache ha rilasciato una patch, e raccomandiamo la massima priorita'
nell'aggiornamento dei sistemi affetti, o nella mitigazione, qualora
non fosse possibile aggiornare.
Ci preme precisare per la comunita' GARR che Shibboleth non e' affetto
dalla vulnerabilita', poiche' nella versione di default non usa le
librerie Log4j (usa jetty/logback), ma sono affette le entita' con
installazioni custom basate su tomcat/log4j (v. sezione Software Interessato).
:: Software interessato
Librerie Apache Log4j dalla versione 2.0-beta-9 fino alla 2.15
Nota: le versioni di Log4j v1 non sono piu' supportate e non riceveranno
aggiornamenti pur essendo vulnerabili anche ad ulteriori attacchi RCE pertanto
e' fortemente consigliato aggiornarle alla 2.16.0
Queste librerie sono utilizzate da numerosi software di terze parti, rendendo
vulnerabili anche le macchine che li utilizzino. Una lista di software
affetto dal problema, in continuo aggiornamento, si puo' trovare a
questi indirizzi:
https://github.com/NCSC-NL/log4shell/tree/main/software
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Per quanto riguarda Shibboleth
https://shibboleth.net/pipermail/announce/2021-December/000253.html
:: Impatto
Esecuzione di codice arbitrario da remoto e senza autenticazione
Compromissione di un sistema
:: Soluzioni
Aggiornare le librerie Apache Log4j all'ultima versione 2.16.0
Aggiornare i sistemi affetti che utilizzino le librerie
Ove non sia possibile aggiornare all'ultima versione, alcuni suggerimenti
di CSIRT Italia per la mitigazione e la riduzione della superficie di attacco:
1. impostare le seguenti proprietà:
log4j2.formatMsgNoLookups=true
LOG4J_FORMAT_MSG_NO_LOOKUPS=true
2. rimuovere la classe JndiLookup dal path delle classi
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
3. Impostare le seguenti proprietà in Java 8u121:
com.sun.jndi.rmi.object.trustURLCodebase
com.sun.jndi.cosnaming.object.trustURLCodebase=false
- - Esistono anche numerosi modi di controllare nei propri log se esistono
attacchi di questo tipo ai nostri server, di seguito alcune informazioni
per cercare nei log e controllare gli IoC:
Regole YARA:
https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
Comandi linux per scansionare la /var/log
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi)://[^\n]+' /var/log
sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i '\$\{jndi:(ldap[s]?|rmi)://[^\n]+'
Windows
https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
fail2ban:
https://github.com/atnetws/fail2ban-log4j
- - Esistono inoltre diversi sistemi per scansionare i propri server alla ricerca
della vulnerabilita', citiamo Huntress Log4Shell Vulnerability Tester,
consigliato da CIS - Center for Internet Security
https://log4shell.huntress.com/
- - Infine una lista di IoC, anche questa in continuo aggiornamento,
compilata da CERT AgID
https://cert-agid.gov.it/news/cert-agid-condivide-i-propri-ioc-per-la-mitigazione-degli-attacchi-log4shell/
:: Riferimenti
I riferimenti sono numerosissimi e in costante aggiornamento, una lista
di quelli che consideriamo essenziali:
Apache Log4j
https://logging.apache.org/log4j/2.x/security.html
https://logging.apache.org/log4j/2.x/download.html
NIST
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
CIS - Center for Internet Security
https://www.cisecurity.org/advisory/a-vulnerability-in-apache-log4j-could-allow-for-arbitrary-code-execution_2021-158/
CSIRT Italia
https://csirt.gov.it/contenuti/vulnerabilita-log4shell-cve-2021-44228-aggiornamento-bl02-211212-csirt-ita
CERT AgID
https://cert-agid.gov.it/news/cert-agid-condivide-i-propri-ioc-per-la-mitigazione-degli-attacchi-log4shell/
SANS Internet Storm Center
https://isc.sans.edu/diary/28120
LunaaSec
https://www.lunasec.io/docs/blog/log4j-zero-day/
Mitre's CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iEYEARECAAYFAmG4uyIACgkQwZxMk2USYEJFSQCeJtE265lw7xBSIXDLSQ7J+KDZ
ckYAn0IROZ8THFwnjym+yQQ3Y7x/Lcml
=3Fqe
-----END PGP SIGNATURE-----