A questo punto, nessuno nel settore della sicurezza è estraneo alla vulnerabilità di Log4J JNDI. Ha causato un notevole rumore nel settore e ha rovinato più di qualche piano per le vacanze. Nel suo nucleo, Log4J è una vulnerabilità di tipo injection che consente agli aggressori di sfruttare i sistemi tramite l'esecuzione di codice remoto. Nel dominio cloud pubblico (in particolare AWS), questo può manifestarsi come un attaccante che estrae i segreti memorizzati nelle variabili d'ambiente. Oltre ai segreti memorizzati staticamente, il nostro team di ricerca sulla sicurezza di Vectra ha recentemente evidenziato i metodi per utilizzare la vulnerabilità di iniezione Log4j per estrarre credenziali temporanee dalla più grande superficie di attacco di AWS: l'istanza EC2.
Ormai sono numerosi gli articoli che illustrano come proteggere un'organizzazione dalla vulnerabilità Log4j per limitare il raggio d'azione di una relativa compromissione, dall'installazione di patch alla rotazione delle credenziali. Tuttavia, è importante capire che ci sono alcune sfide da affrontare se ci si affida solo a questi mezzi di rimedio. Tra cui:
- Non tutti i sistemi possono essere patchati rapidamente, lasciando una finestra di esposizione. L'implementazione delle patch richiede tempo e in molti casi dipende da fornitori o provider di servizi che non sono sotto il controllo dell'IT.
- Ci sarà una prossima volta. L'exploit Log4J non sarà certamente l'ultimo che incontreremo. Il semplice fatto di limitare il raggio d'azione dell'esplosione consente agli aggressori di avere troppo tempo a disposizione all'interno degli ambienti per infiltrarsi in risorse sensibili e creare scompiglio.
- Una volta che l'aggressore è entrato, la patch dei punti di compromissione iniziale non sarà di grande aiuto. L'attaccante può estrarre diverse credenziali, avanzare attraverso le macchine, stabilire canali di comando e controllo attraverso server, container o codice serverless e avere un impatto negativo su risorse, servizi e dati dell'organizzazione, con conseguente interruzione dell'attività e perdita di dati sensibili.
L'eccessiva dipendenza dalle patch e dal ripristino post-compromissione ha portato il SOC a giocare costantemente a rimpiattino con l'exploit del giorno. Oltre alle patch, è necessaria la capacità di rilevare rapidamente la progressione dell'attaccante una volta entrato, fornendo una protezione resiliente indipendentemente dal prossimo exploit.
Rilevare la progressione degli attacchi nel Cloud è un problema difficile da risolvere
Tracciare il comportamento delle entità e identificare le modifiche apportate a un ambiente cloud è estremamente difficile da eseguire in tempo reale. Inoltre, può essere quasi impossibile distinguere un normale utente con credenziali da un malintenzionato che utilizza le stesse credenziali compromesse.
Ma non c'è da preoccuparsi, abbiamo una buona notizia: AWS Detect vi copre.
Detect for AWS utilizza l'intelligenza artificiale guidata dalla sicurezza per rilevare il comportamento degli aggressori nel piano di controllo AWS. Ad esempio, Vectra attiva l'allarme "AWS Suspicious Credential Usage" quando le credenziali dell'istanza EC2 vengono utilizzate al di fuori dello spazio IP AWS. Ciò facilita l'identificazione di credenziali rubate (dall'esecuzione di codice remoto tramite Log4J) utilizzate per accedere alle risorse. All'interno del perimetro, Detect monitora continuamente gli account e i servizi in tutte le regioni per identificare tempestivamente i comportamenti dannosi degli aggressori lungo la kill chain cloud (scoperta, movimento laterale ed esfiltrazione). Esempi di percorsi di attacco che un aggressore può seguire sono:
- Accedere e modificare le funzioni AWS Lambda per eseguire azioni a vantaggio dell'attaccante. Detect identifica e mette in evidenza i casi di hijacking di Lambda.
- Varie tecniche di escalation dei privilegi, compresa la creazione di nuovi profili utente per mantenere la persistenza. Detect identifica il comportamento associato alla concessione dei privilegi di amministratore e monitora la creazione di nuovi profili utente.
- L'attivazione di risorse AWS in regioni non monitorate e l'esposizione delle risorse al pubblico. Il rilevamento farebbe scattare avvisi che mostrano l'attività in regioni precedentemente inutilizzate e richiamerebbe l'attenzione sulle istanze in cui le risorse sono esposte al mondo esterno.
Dalla modifica delle risorse ai tentativi di escalation dei privilegi e di esfiltrazione dagli archivi di dati, Detect garantisce una copertura senza punti oscuri. Grazie all'intelligenza artificiale di Vectra, Detect attribuisce tutte le azioni a un responsabile, anche se agisce attraverso una catena di ruoli presunti, per valutare se l'attività, e quindi il responsabile, debba essere considerata dannosa. Ciò significa che un analista SOC non deve perdere tempo a identificare il principale che è stato compromesso.
Inoltre, grazie alla funzione Instant Investigations, Detect fornisce un contesto critico delle azioni eseguite dal responsabile evidenziato nel momento in cui si è verificata l'attività sospetta. Questo include, tra le altre preziose informazioni, i servizi utilizzati, la storia dei ruoli assunti e le regioni in cui il responsabile era attivo. Che ci crediate o no, queste informazioni che tradizionalmente richiedevano ore di lavoro sono ora disponibili con un semplice clic grazie a Instant Investigations!
Con la crescita esponenziale delle impronte cloud , agli aggressori basta una sola apertura per infiltrarsi negli ambienti cloud e creare backdoor per stabilire la persistenza. Log4J non è la prima e certamente non sarà l'ultima dell'ampia gamma di vulnerabilità che gli aggressori sfruttano per compromettere gli ambienti cloud . Le infrastrutture sono incredibilmente complesse e comprendono decine di servizi che, nelle moderne pipeline DevOps, sono in continuo movimento. Con l'aumento della velocità e dell'agilità, aumenta anche il rischio di introdurre problemi di sicurezza. L'identificazione precoce di questi vettori di attacco è fondamentale per mitigare il rischio e facilitare strategie di risposta sagaci. In un mondo come quello odierno, in cui le implementazioni cloud crescono a un ritmo mai visto prima, l'importanza di dotare il SOC degli strumenti giusti non può essere sopravvalutata e Detect rappresenta un'aggiunta formidabile all'arsenale del SOC. Sembra interessante? Scoprite di più su Detect e registratevi per una prova gratuita.