Vulnerabilità Log4j – Aggiornamenti
Torino, 11 dicembre 2021 – A fronte delle segnalazioni provenienti da varie fonti e in riferimento alle CVE-2021-4428 , CVE 2021-45046, CVE 2021-4104, Intesa ha provveduto ad attivare le seguenti contromisure:
- Networking: nella mattinata del 11.12.2021 si è posto in essere il blocco network a livello di IPS e WAF a protezione dell’intero perimetro network con le opportune signature.
- Networking: sono stati adeguatamente predisposti i tool di attacco con i seguenti plugin:
- 113075- Apache Log4j Remote Code Execution (Log4Shell)
- 156014 Apache Log4Shell RCE detection via callback correlation (Direct Check HTTP
- 155998 Apache Log4j Message Lookup Substitution RCE (Log4Shell) (Direct Check)
- 156001 Apache Log4j JAR Detection (Windows)
- 156000 Apache Log4j Installed (Unix)
- 156002 Apache Log4j < 2.15.0 Remote Code Execution
- 156057 Apache Log4j 2.x < 2.16.0 Dos Version Check
e sono stati effettuati test sull’intero perimetro senza rilevare problematiche.
- Applicazioni/Servizi: è stata verificata, all’interno dei nostri repository, la presenza di librerie Log4J, verificate le versioni ed eseguiti i seguenti correttivi:
- ove riscontrata una versione 1.x, si è verificato che nessun software presentasse la configurazione JMSAppender o utilizzasse ServerSocket;
- ove riscontrata una versione 2.x, è stata aggiornata all’ultima versione 2.16 o mitigata a runtime con la cancellazione della JndiLookup.class
- Client distribuiti all’utenza finale: essendo un client, per sua natura non riceve chiamate inbound, quindi non è vulnerabile ai CVE sopra descritti; si evidenzia inoltre che tutti i nostri client usano la versione 1.x.
La comunicazione sopra verrà eventualmente aggiornata se ci saranno evoluzioni in merito alle vulnerabilità Log4j.