Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Gli exploit di Log4Shell stanno virando da LDAP ad RMI.

Redazione RHC : 20 Dicembre 2021 07:45

Alcuni criminali informatici stanno sfruttando la vulnerabilità di Apache Log4j utilizzando le RMI, hanno affermato gli esperti della società di sicurezza informatica Juniper Labs.

Questo cambiamento rappresenta una brusca svolta negli attacchi attuali e i team di sicurezza informatica devono tenere conto di questo vettore quando garantiscono la sicurezza. Finora, i criminali informatici stanno passando ad RMI, hackerando le risorse per installare i minatori di criptovaluta Monero, ma il resto potrebbe presto seguire questa tendenza.

Supporta Red Hot Cyber attraverso

La maggior parte degli attacchi tramite la vulnerabilità Log4Shell nella libreria di registrazione Log4j viene eseguita tramite il protocollo LDAP (Lightweight Directory Access Protocol).

Il passaggio all’API Remote Method Invocation (RMI) sembra a prima vista controintuitivo, poiché questo meccanismo è soggetto a ulteriori controlli e restrizioni, ma non è sempre così.

Alcune versioni della JVM (Java Virtual Machine) non hanno policy rigide, quindi RMI a volte può essere un canale più conveniente per l’esecuzione di codice remoto rispetto a LDAP.

Inoltre, le richieste LDAP sono ora un collegamento ben noto nella catena delle infezioni e i team di sicurezza le stanno monitorando più da vicino.

Ad esempio, molti strumenti IDS/IPS attualmente filtrano le richieste con JNDI e LDAP, quindi è possibile che manchino le RMI. In alcuni casi, gli esperti di Juniper Labs hanno acquisito sia RMI che LDAP nella stessa richiesta HTTP POST.

Comunque sia, l’obiettivo di tutti i criminali informatici che cercano di sfruttare Log4Shell è lo stesso: inviare una riga di codice exploit per il server Log4j, che porterà all’esecuzione del codice, per poi una volta acquisito il controllo della macchina, trarne profitto.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009