Diversi esperti di sicurezza informatica hanno rilasciato scanner gratuiti per aiutare le organizzazioni a trovare istanze Log4j vulnerabili.
La Cybersecurity and Infrastructure Security Agency (CISA), ad esempio, ha rilasciato uno scanner Log4j su GitHub, basato su una versione precedente realizzata dalla società di sicurezza FullHunt.
CISA ha affermato che questo strumento cerca due vulnerabilità, CVE-2021-44228 e CVE-2021-45046 e supporta il callback DNS per la scoperta e la convalida delle vulnerabilità. Fornisce inoltre il rilevamento automatico degli errori per i parametri dei dati HTTP POST e per i parametri dei dati JSON.
Gli esperti di sicurezza informatica di Crowdstrike hanno anche rilasciato uno scanner simile chiamato CAST.
Gli scanner sono difettosi
Tuttavia, i ricercatori hanno avvertito che nessuno di questi strumenti era perfetto e potrebbero finire per perdere una o due vulnerabilità.
Yotam Perkal, capo della ricerca presso la società di sicurezza Rezilion, ha analizzato questi strumenti e ha pubblicato i risultati in un post sul blog. Secondo Perkal, molti scanner hanno perso alcune versioni della vulnerabilità.
"La sfida più grande è rilevare Log4Shell nel software confezionato in ambienti di produzione: i file Java (come Log4j) possono essere annidati in alcuni livelli all'interno di altri file, il che significa che una ricerca superficiale del file non lo troverà", ha scritto Perkal. . "Inoltre, possono essere impacchettati in molti formati diversi, il che crea una vera sfida per scavare in altri pacchetti Java."
Perkal ha testato un totale di nove scanner e, sebbene alcuni abbiano funzionato meglio di altri, nessuno è stato in grado di identificare tutte le implementazioni Log4j vulnerabili.
"Ci ricorda anche che le capacità di rilevamento sono valide solo quanto il tuo metodo di rilevamento. Gli scanner hanno punti ciechi", ha concluso Perkal. “I funzionari della sicurezza non possono presumere ciecamente che vari strumenti open source o anche di livello commerciale saranno in grado di rilevare tutti i casi limite. E nel caso di Log4j, ci sono molte istanze edge in molti punti. "
Log4Shell
Log4j è un logger Java che è stato recentemente scoperto contenere un difetto critico, che potrebbe consentire ad attori malintenzionati (anche quelli con competenze molto basse) di eseguire codice arbitrario su milioni di endpoint e rimuoverli, malware, ransomware e crypto miner.
Ulteriori indagini hanno rivelato che Log4Shell, come è noto il difetto, è una delle vulnerabilità di sicurezza più gravi nella memoria recente. Jen Easterly, direttrice del CISA, l'ha definito "uno dei più seri" che abbia visto in tutta la sua carriera, "se non il più serio".
Finora Apache ha rilasciato almeno tre correzioni per Log4j da quando è stata scoperta la vulnerabilità e gli utenti sono incoraggiati ad aggiornare immediatamente.
Tramite ZDNet