Vulnerabilità Log4j – Aggiornamenti

Torino, 11 dicembre 2021 – A fronte delle segnalazioni provenienti da varie fonti e in riferimento alle CVE-2021-4428 , CVE 2021-45046, CVE 2021-4104, Intesa ha provveduto ad attivare le seguenti contromisure:

• Networking: nella mattinata del 11.12.2021 si è posto in essere il blocco network a livello di IPS e WAF a protezione dell’intero perimetro network con le opportune signature.
• Networking: sono stati adeguatamente predisposti i tool di attacco con i seguenti plugin:
  • 113075- Apache Log4j Remote Code Execution (Log4Shell)
  • 156014 Apache Log4Shell RCE detection via callback correlation (Direct Check HTTP
  • 155998 Apache Log4j Message Lookup Substitution RCE (Log4Shell) (Direct Check)
  • 156001 Apache Log4j JAR Detection (Windows)
  • 156000 Apache Log4j Installed (Unix)
  • 156002 Apache Log4j < 2.15.0 Remote Code Execution
  • 156057 Apache Log4j 2.x < 2.16.0 Dos Version Check
    e sono stati effettuati test sull’intero perimetro senza rilevare problematiche.
• Applicazioni/Servizi: è stata verificata, all’interno dei nostri repository, la presenza di librerie Log4J, verificate le versioni ed eseguiti i seguenti correttivi:
  • ove riscontrata una versione 1.x, si è verificato che nessun software presentasse la configurazione JMSAppender o utilizzasse ServerSocket;
  • ove riscontrata una versione 2.x, è stata aggiornata all’ultima versione 2.16 o mitigata a runtime con la cancellazione della JndiLookup.class
• Client distribuiti all’utenza finale: essendo un client, per sua natura non riceve chiamate inbound, quindi non è vulnerabile ai CVE sopra descritti; si evidenzia inoltre che tutti i nostri client usano la versione 1.x.

La comunicazione sopra verrà eventualmente aggiornata se ci saranno evoluzioni in merito alle vulnerabilità Log4j.