La Cybersecurity and Infrastructure Security Agency (CISA) ha annunciato il rilascio di uno scanner per identificare i servizi Web interessati da due vulnerabilità di esecuzione di codice remoto Apache Log4j, tracciate come CVE-2021-44228 e CVE-2021-45046.
“log4j-scanner è un progetto derivato da altri membri della comunità open source dal team Rapid Action Force di CISA per aiutare le organizzazioni a identificare i servizi web potenzialmente vulnerabili colpiti dalle vulnerabilità log4j”, spiega l’ agenzia di sicurezza informatica .
Questa soluzione di scansione si basa su strumenti simili, incluso un framework di scansione automatizzata per il bug CVE-2021-44228 (soprannominato e Log4Shell) e sviluppato dalla società di sicurezza informatica FullHunt.
Lo strumento consente ai team di sicurezza di eseguire la scansione degli host di rete per rilevare l’esposizione RCE di Log4j e individuare i bypass del firewall di applicazioni Web (WAF) che possono consentire agli autori delle minacce di ottenere l’esecuzione del codice all’interno dell’ambiente dell’organizzazione.
CISA mette in evidenza le seguenti caratteristiche sulla pagina del progetto di log4j-scanner :
- Supporto per elenchi di URL.
- Fuzzing per più di 60 intestazioni di richiesta HTTP (non solo 3-4 intestazioni come strumenti visti in precedenza).
- Fuzzing per i parametri dei dati HTTP POST.
- Fuzzing per i parametri dei dati JSON.
- Supporta la richiamata DNS per la scoperta e la convalida delle vulnerabilità.
- WAF Bypass payload.
La risposta Log4Shell di CISA
Questo è solo l’ultimo passo compiuto da CISA per aiutare le organizzazioni governative e private a rispondere agli attacchi in corso che abusano di queste falle di sicurezza critiche nella libreria di log Log4j di Apache.
L’agenzia era anche dietro a un avviso congiunto emesso oggi dalle agenzie di sicurezza informatica di tutto il mondo e dalle agenzie federali statunitensi con una guida alla mitigazione per affrontare le vulnerabilità CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105 Log4j.
CISA sta anche promuovendo l’immediata applicazione di patch ai dispositivi vulnerabili agli attacchi Log4Shell per bloccare i tentativi degli autori delle minacce di sfruttare i sistemi vulnerabili Log4Shell e infettarli con malware.
Venerdì, la CISA ha ordinato alle agenzie del ramo esecutivo federale civile di applicare patch ai loro sistemi contro Log4Shell fino al 23 dicembre. L’agenzia di sicurezza informatica ha anche recentemente aggiunto il difetto al catalogo delle vulnerabilità sfruttate note , richiedendo quindi anche un’azione rapida da parte delle agenzie federali per mitigare questo difetto critico fino a dicembre 24.
Gli attacchi Log4Shell sono stati orchestrati da aggressori motivati finanziariamente che impiegano minatori Monero , gang di ransomware e persino hacker sostenuti dallo stato .
Abbiamo anche articoli con maggiori informazioni sulla vulnerabilità Log4Shell , un elenco completo di avvisi dei fornitori e prodotti vulnerabili e perché è necessario eseguire l’aggiornamento a Log4j2.17.0 il prima possibile.