Log4Shell si presenta come la più grave falla informatica degli ultimi anni: stiamo assistendo a milioni di attacchi che sfruttano un errore di progettazione in una delle librerie java più usate al mondo (secondo una stima sarebbe presente in oltre 3 miliardi di dispositivi).
La vulnerabilità censita come CVE-2021-44228 riguardante Apache Log4j sta creando notevoli problemi di sicurezza sui sistemi esposti che utilizzano questo prodotto e l’allarme potrebbe protrarsi per anni in quanto è estremamente difficile individuare e rimettere a posto tutte le volte che è stato utilizzato.
Il problema è venuto recentemente alla luce quando ci si è accorti che su Minecraft da qualche settimana alcuni giocatori riuscivano a fare scherzi ad altri giocatori semplicemente inviando stringhe di codice nella chat del gioco. Si è così capito che una delle librerie più usate al mondo aveva all’interno un errore di progettazione pericolosissimo.
Ma come funziona il bug? Log4J dovrebbe mostrare e gestire solo stringhe di testo, ma quando si trova davanti ad un messaggio formattato in modo particolare lo vede come un indirizzo internet, lo raggiunge sfruttando la Java Naming and Directory Interface, scarica il payload e lo esegue con i privilegi del programma principale. Era quindi sufficiente inserire un comando all’interno dei caratteri ${} per trasformarlo in comando eseguito.
La falla ha consentito un numero impressionante di attacchi da parte di hacker e cybercriminali con conseguente diffusione di malware, truffe, furto di dati e anche, si teme, attacchi alla sicurezza di infrastrutture critiche e governative.
Il CERT-AgID, a protezione delle proprie infrastrutture e di quelle della sua constituency, sta raggruppando gli IoC (Indicatori di Compromissione) pubblici – individuati dalle comunità di ricercatori di sicurezza che in questi giorni si stanno adoperando per mitigare i danni di questa grave vulnerabilità, oltre a quelli che riesce a rilevare dai vari log delle proprie infrastrutture – per poterli utilizzare come contrasto alle ondate di scansioni che si stanno verificando al fine di sfruttare la vulnerabilità.
Data la gravità della falla e la semplicità con la quale la stessa può essere sfruttata, CERT-AgID ha deciso di rendere disponibili per tutti questi IoC.
E’ possibile recuperare la lista all’indirizzo:
https://cert-agid.gov.it/download/log4shell-iocs.txt
Gli indicatori forniti non sono ovviamente esaustivi. Il CERT-AGID, per quel che possibile, cercherà di mantenere aggiornata la lista.
E’ possibile inoltre contribuire comunicando gli ulteriori IoC a disposizione al seguente indirizzo email:
La parte più consistente di questa lista riguarda gli indirizzi IP da cui vengono effettuati gli attacchi e scaricati i payload malevoli. Il CERT-AgID consiglia di utilizzarli sia come lista di blocco sia per le verifiche a posteriori per poter rilevare tentativi di attacco e/o compromissioni.
Approfondisci i nostri servizi di Cybersecurity
___________________________________________________________________________________________________________________________
Per informazioni sui prodotti e servizi di information technology offerti da SI.net Servizi Informatici per accompagnarti nelle continue sfide legate all’innovazione tecnologica, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.
