CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell

13/12/2021

CVE-2021-44228 IoC log4j log4shell

(Lista IoC aggiornata al 31-01-2022 @ 09:11)

Come evidenziato anche dal CSIRT Italia, la vulnerabilità censita come CVE-2021-44228 riguardante Apache Log4j sta creando notevoli problemi di sicurezza sui sistemi esposti che utilizzano quel prodotto.

Il CERT-AGID, a protezione delle proprie infrastrutture e di quelle della sua constituency, sta raggruppando gli IoC (Indicatori di Compromissione) pubblici individuati dalle comunità di ricercatori di sicurezza (che in questi giorni si stanno adoperando per mitigare i danni di questa grave vulnerabilità) oltre a quelli che riesce a rilevare dai vari log delle proprie infrastrutture, per poterli utilizzare come contrasto alle ondate di scansioni che si stanno verificando al fine di sfruttare questa vulnerabilità.

Data la gravità della vulnerabilità e la semplicità con la quale la stessa può essere sfruttata, CERT-AgID ha deciso di rendere disponibili a tutti questi IoC. E’ possibile recuperare questa lista all’indirizzo:

https://cert-agid.gov.it/download/log4shell-iocs.txt

Oppure utilizzare i seguenti formati:

Gli indicatori forniti non sono ovviamente esaustivi. Il CERT-AGID, per quel che possibile, cercherà di mantenere aggiornata la lista.

Per chi voglia contribuire, può comunicarci gli ulteriori IoC a disposizione al seguente indirizzo email:

info@cert-agid.gov.it

La parte più consistente di questa lista riguarda gli indirizzi IP da cui vengono effettuati gli attacchi e scaricati i payload malevoli . Consigliamo di utilizzarli sia come lista di blocco sia per le verifiche a posteriori per poter rilevare tentativi di attacco e/o compromissioni.

È disponibile un servizio per verificare se una lista di software (tra quelli noti) è vulnerabile a #Log4Shell basato sulla lista redatta dal NCSC-NL

Vogliamo ringraziare per i loro contributi: