A questo punto, nessuno nel settore della sicurezza ignora la vulnerabilità JNDI di Log4J. Ha causato un notevole clamore nel settore e ha rovinato più di qualche programma per le vacanze. Fondamentalmente, Log4J è una vulnerabilità di tipo injection che consente agli aggressori di sfruttare i sistemi tramite l'esecuzione di codice remoto. Nel cloud pubblico (in particolare AWS), ciò può manifestarsi con l'estrazione da parte di un aggressore delle informazioni riservate memorizzate nelle variabili di ambiente. Oltre alle informazioni riservate memorizzate in modo statico, il nostro team di ricerca sulla sicurezza di Vectra ha recentemente evidenziato alcuni metodi per utilizzare la vulnerabilità di tipo injection di Log4j per estrarre credenziali temporanee dalla più grande superficie di attacco in AWS: l'istanza EC2.
Ormai sono disponibili numerosi articoli che trattano come proteggere un'organizzazione dalla vulnerabilità Log4j per limitare la portata di un attacco correlato, dall'installazione di patch alla rotazione delle credenziali. Tuttavia, è importante comprendere che affidarsi esclusivamente a questi mezzi per la correzione presenta alcune difficoltà. Tra queste:
- Non tutti i sistemi possono essere aggiornati rapidamente, lasciando così una finestra di esposizione. L'implementazione delle patch richiede tempo e in molti casi ci saranno dipendenze da fornitori o provider di servizi che esulano dal controllo dell'IT.
- Ci sarà una prossima volta. L'exploit Log4J non sarà certamente l'ultimo che incontreremo. Affidarsi semplicemente alla limitazione del raggio d'azione concede agli aggressori troppo tempo all'interno degli ambienti per infiltrarsi nelle risorse sensibili e causare il caos.
- Una volta che l'autore dell'attacco è entrato nel sistema, riparare i punti inizialmente compromessi non servirà a molto. L'autore dell'attacco può estrarre diverse credenziali, avanzare attraverso i computer, stabilire canali di comando e controllo attraverso server, container o codice serverless e influire negativamente sulle risorse, sui servizi e sui dati dell'organizzazione, causando interruzioni dell'attività e perdita di dati sensibili.
L'eccessivo affidamento alle patch e al ripristino post-compromissione ha portato il SOC a dover costantemente rincorrere gli exploit del giorno. Oltre alle patch, è necessaria la capacità di rilevare rapidamente l'avanzata degli aggressori una volta entrati, fornendo una protezione resiliente indipendentemente dal prossimo exploit.
Rilevare la progressione degli attacchi nel Cloud un problema difficile da risolvere
Monitorare il comportamento delle entità e identificare le modifiche apportate a un cloud è estremamente difficile da eseguire in tempo reale. Inoltre, può essere quasi impossibile distinguere tra un utente regolare in possesso delle credenziali e un malintenzionato che utilizza le stesse credenziali compromesse.
Ma non preoccuparti, abbiamo buone notizie: Vectra Detect per AWS ti protegge.
Detect for AWS utilizza un'intelligenza artificiale orientata alla sicurezza per rilevare il comportamento degli aggressori nel piano di controllo AWS. Ad esempio, Vectra attiverà l'allarme "AWS Suspicious Credential Usage" quando le credenziali dell'istanza EC2 vengono utilizzate al di fuori dello spazio IP AWS. Ciò facilita l'identificazione delle credenziali rubate (tramite l'esecuzione di codice remoto utilizzando Log4J) utilizzate per accedere alle risorse. All'interno del perimetro, Detect monitora continuamente gli account e i servizi in tutte le regioni per identificare tempestivamente i comportamenti dannosi degli aggressori lungo tutta la catenacloud (individuazione, movimento laterale ed esfiltrazione). Esempi di percorsi di attacco che un aggressore può seguire includono:
- Accesso e modifica delle funzioni AWS Lambda per eseguire azioni a vantaggio dell'autore dell'attacco. Detect identifica ed evidenzia i casi di dirottamento lambda.
- Varie tecniche di escalation dei privilegi, inclusa la creazione di nuovi profili utente per mantenere la persistenza. Detect identifica il comportamento associato alla concessione dei privilegi di amministratore e monitora la creazione di nuovi profili utente.
- Avvio di risorse AWS in regioni non monitorate ed esposizione delle risorse al pubblico. Detect attiverebbe avvisi che segnalano attività in regioni precedentemente inutilizzate e richiamerebbe l'attenzione sui casi in cui le risorse sono esposte al mondo esterno.
Dalla modifica delle risorse ai tentativi di escalation dei privilegi e all'esfiltrazione dai data store, Detect garantisce una copertura senza punti ciechi. Utilizzando l'intelligenza artificiale orientata alla sicurezza di Vectra, Detect attribuisce tutte le azioni a un soggetto principale anche se questi agisce attraverso una catena di ruoli assunti, per valutare se l'attività e quindi il soggetto principale debbano essere considerati dannosi. Ciò significa che un analista SOC non deve perdere tempo a identificare il soggetto principale che è stato compromesso.
Inoltre, grazie alla funzione Instant Investigations, Detect fornisce un contesto critico sulle azioni eseguite dal soggetto evidenziato nel momento in cui si è verificata l'attività sospetta. Ciò include, tra le altre preziose informazioni, i servizi utilizzati, la cronologia dei ruoli assunti e le regioni in cui il soggetto era attivo. Che ci crediate o no, queste informazioni, che tradizionalmente richiedevano ore per essere individuate, sono ora disponibili con un semplice clic grazie alla funzione Instant Investigations!
Con la crescita esponenziale cloud , agli aggressori basta una sola apertura per infiltrarsi cloud e creare backdoor per stabilire la persistenza. Log4J non è il primo e certamente non sarà l'ultimo nella vasta gamma di vulnerabilità che gli aggressori sfruttano per compromettere cloud . Le infrastrutture sono incredibilmente complesse e comprendono decine di servizi che, nelle moderne pipeline DevOps, sono in costante evoluzione. Con l'aumentare della velocità e dell'agilità, aumenta anche il rischio di introdurre problemi di sicurezza. L'identificazione precoce di questi vettori di attacco è fondamentale per mitigare il rischio e facilitare strategie di risposta sagge. Nel mondo odierno, in cui cloud stanno crescendo a un ritmo senza precedenti, l'importanza di dotare il SOC degli strumenti giusti non può essere sottovalutata e Detect rappresenta un'aggiunta formidabile all'arsenale del SOC. Ti sembra interessante? Scopri di più su Detect e registrati per una prova gratuita.