La patch Log4J per correggere i gravi zero-day ha una propria vulnerabilità che è già attivamente sfruttata
Facepalm: Gli exploit di Log4J che hanno afflitto gli amministratori di server nell'ultima settimana continuano poiché la patch rilasciata per bloccare le intrusioni sembra avere dei propri difetti di sicurezza. Alcune aziende che avevano già aggiornato a Log4J 2.15.0 hanno continuato a subire attacchi da almeno uno dei due nuovi punti deboli rilevati.
La scorsa settimana, i ricercatori di sicurezza hanno notificato agli sviluppatori di aver scoperto una vulnerabilità zero-day sfruttata attivamente nel framework Apache Struts. Il difetto era nell'utilità di registrazione Log4J. La Apache Foundation ha emesso una correzione con la versione 2.15.0 e ha rivelato pubblicamente la debolezza durante il fine settimana.
Durante le 72 ore successive all'emissione dell'aggiornamento, lo sfruttamento della falla è salito alle stelle, con i ricercatori che hanno tracciato fino a 100 attacchi al minuto e quasi un milione di incidenti in totale. Le grandi aziende, tra cui Apple, Amazon, Cisco e altre, si sono affrettate a riparare il buco.
Quasi con la stessa rapidità con cui i sistemi stavano installando Log4J 2.15.0, le società di sicurezza Praetorian e Cloudflare hanno iniziato a vedere attacchi attivi nei sistemi patchati. I ricercatori hanno individuato almeno due exploit in una nuova vulnerabilità tracciata come CVE-2021-45046.
Una debolezza, rilevata martedì, ha consentito agli hacker di eseguire attacchi DDoS manipolando "modelli di ricerca dei messaggi" e "funzionalità JNDI". Apache ora li ha disabilitati per impostazione predefinita in Log4J 2.16.0.
Poi mercoledì, gli analisti di Praetorian hanno scoperto un altro exploit che consentirebbe agli hacker di esfiltrare i dati dai server vulnerabili. Praetorian ha pubblicato un video di prova del concetto che mostra l'esfiltrazione su Log4J 2.15.0 (sopra). L'aggiornamento 2.16.0 si occupa anche di questo.
"Nella nostra ricerca, abbiamo dimostrato che 2.15.0 può ancora consentire l'esfiltrazione di dati sensibili in determinate circostanze", ha osservato Praetorian in un avvertimento per l'aggiornamento immediato. "Abbiamo passato i dettagli tecnici del problema alla Apache Foundation, ma nel frattempo consigliamo vivamente ai clienti di eseguire l'aggiornamento alla 2.16.0 il più rapidamente possibile".
La società di sicurezza Cloudflare ha dichiarato mercoledì che sta monitorando CVE-2021-45046 e ha già visto il difetto sfruttato attivamente, ma non ha menzionato se gli attacchi fossero DDoS, esfiltrazione di dati o entrambi. Raccomanda anche agli amministratori di sistema di aggiornare a Log4J 2.16.0 al più presto.
Entrambe le società tengono nascosti i dettagli tecnici degli exploit mentre gli operatori del settore aggiornano i loro sistemi.