Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 20 Dicembre 2021 07:45
Alcuni criminali informatici stanno sfruttando la vulnerabilità di Apache Log4j utilizzando le RMI, hanno affermato gli esperti della società di sicurezza informatica Juniper Labs.
Questo cambiamento rappresenta una brusca svolta negli attacchi attuali e i team di sicurezza informatica devono tenere conto di questo vettore quando garantiscono la sicurezza. Finora, i criminali informatici stanno passando ad RMI, hackerando le risorse per installare i minatori di criptovaluta Monero, ma il resto potrebbe presto seguire questa tendenza.
La maggior parte degli attacchi tramite la vulnerabilità Log4Shell nella libreria di registrazione Log4j viene eseguita tramite il protocollo LDAP (Lightweight Directory Access Protocol).
Il passaggio all’API Remote Method Invocation (RMI) sembra a prima vista controintuitivo, poiché questo meccanismo è soggetto a ulteriori controlli e restrizioni, ma non è sempre così.
Alcune versioni della JVM (Java Virtual Machine) non hanno policy rigide, quindi RMI a volte può essere un canale più conveniente per l’esecuzione di codice remoto rispetto a LDAP.
Inoltre, le richieste LDAP sono ora un collegamento ben noto nella catena delle infezioni e i team di sicurezza le stanno monitorando più da vicino.
Ad esempio, molti strumenti IDS/IPS attualmente filtrano le richieste con JNDI e LDAP, quindi è possibile che manchino le RMI. In alcuni casi, gli esperti di Juniper Labs hanno acquisito sia RMI che LDAP nella stessa richiesta HTTP POST.
Comunque sia, l’obiettivo di tutti i criminali informatici che cercano di sfruttare Log4Shell è lo stesso: inviare una riga di codice exploit per il server Log4j, che porterà all’esecuzione del codice, per poi una volta acquisito il controllo della macchina, trarne profitto.
RedazioneCloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...
Una campagna sempre più aggressiva, che punta direttamente alle infrastrutture di accesso remoto, ha spinto gli autori delle minacce a tentare di sfruttare attivamente le vulnerabilità dei portali V...
Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
