CVE-2021-44228: vulnerabilità Zero-Day in Apache Log4j che consente l'esecuzione di codice in modalità remota (RCE)
Una vulnerabilità RCE (Remote Code Execution) critica e non autenticata (CVE-2021-44228) è stato segnalata in Log4j, una libreria di registrazione open source. Akamai ha collaborato direttamente con i clienti nelle ultime 24 ore per implementare regole WAF (Web Application Firewall) al fine di mitigare l'esposizione a questa vulnerabilità. Log4j è integrato in molti dei framework più comuni, il che rende il rischio di attacco estremamente diffuso. Qualora tale vulnerabilità venga sfruttata attivamente e in modo malevolo, consente all'autore di un attacco di eseguire codice arbitrario su sistemi che includono applicazioni contenenti la libreria.
La vulnerabilità interessa più versioni di Log4j e le applicazioni che ne dipendono (tra cui Apache Struts2, Apache Solr, Apache Druid, Apache Flink e molti altre). Si consiglia agli amministratori e agli sviluppatori di verificare quali applicazioni utilizzano il pacchetto Log4j e, se la versione del pacchetto è compresa nell'intervallo vulnerabile (versioni Log4j 2.0 - 2.14.1), eseguire immediatamente l'aggiornamento alla versione 2.16.0 o successiva. La versione più recente è già disponibile alla pagina di download Log4j.
Akamai ha ora distribuito un aggiornamento alla regola Apache esistente per includere la mitigazione di questa vulnerabilità Zero-Day CVE. Tale aggiornamento comprende l'aggiornamento della regola 3000014 per il set di regole Kona o il motore di sicurezza adattiva di Akamai (per i clienti che utilizzano il motore Gruppi di attacchi automatizzati, abbiamo aggiornato il gruppo Command Injection). Si tratta dei motori utilizzati nei prodotti Kona Site Defender, Web Application Protector e App & API Protector di Akamai. Tutti i clienti che attualmente hanno tali regole (o gruppi di attacchi) attivate in modalità RIFIUTA riceveranno una protezione automatica in linea per le seguenti versioni e motori di protezione:
Set di regole Kona: qualsiasi versione con data 29 ottobre 2019 o successiva.
Gruppi di attacchi automatizzati: tutte le versioni
Motore di sicurezza adattiva: tutte le versioni
I server che ospitano applicazioni Internet potrebbero già essere compromessi. Su molti sistemi, per identificare gli indicatori di compromesso, è possibile utilizzare il seguente comando che mostra i tentativi di sfruttamento delle vulnerabilità:
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns)://' /var/log
Si consiglia a tutti gli utenti delle versioni comprese tra Log4j 2.0 e 2.14.1 di eseguire l'aggiornamento immediatamente. Laddove ciò non fosse possibile, è opportuno imitare il più possibile l'accesso in uscita ai computer potenzialmente vulnerabili. Il blocco di porte o host specifici in uscita potrebbe non essere sufficiente, poiché è possibile utilizzare più protocolli in uscita per sfruttare i sistemi vulnerabili.
I clienti Akamai con Guardicore Centra, ora parte della suite di sicurezza Akamai, possono sfruttare la visibilità a livello di processo di Centra per identificare tutte le applicazioni basate su Java nella loro rete potenzialmente a rischio. I clienti possono quindi mappare la loro esposizione e valutare il livello di rischio (ad esempio, per i servizi Internet, i servizi di infrastruttura esposti all'intero data center, le applicazioni locali eseguite da un numero limitato di utenti e macchine) e applicare in tempi rapidi regole di segmentazione per la riduzione del rischio fino all'implementazione di una patch.
