CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell
CVE-2021-44228 IoC log4j log4shell
Come evidenziato anche dal CSIRT Italia, la vulnerabilità censita come CVE-2021-44228 riguardante Apache Log4j sta creando notevoli problemi di sicurezza sui sistemi esposti che utilizzano quel prodotto.
Il CERT-AGID, a protezione delle proprie infrastrutture e di quelle della sua constituency, sta raggruppando gli IoC (Indicatori di Compromissione) pubblici individuati dalle comunità di ricercatori di sicurezza (che in questi giorni si stanno adoperando per mitigare i danni di questa grave vulnerabilità) oltre a quelli che riesce a rilevare dai vari log delle proprie infrastrutture, per poterli utilizzare come contrasto alle ondate di scansioni che si stanno verificando al fine di sfruttare questa vulnerabilità.
Data la gravità della vulnerabilità e la semplicità con la quale la stessa può essere sfruttata, CERT-AgID ha deciso di rendere disponibili a tutti questi IoC. E’ possibile recuperare questa lista all’indirizzo:
https://cert-agid.gov.it/download/log4shell-iocs.txt
Oppure utilizzare i seguenti formati:
- RAW (full) https://cert-agid.gov.it/download/log4shell-iocs-raw.txt
- RAW (solo IPv4) https://cert-agid.gov.it/download/log4shell-iocs-raw-ipv4.txt
- RAW (solo Domain) https://cert-agid.gov.it/download/log4shell-iocs-raw-domain.txt
- RAW (solo Url) https://cert-agid.gov.it/download/log4shell-iocs-raw-url.txt
- RAW (solo Hash) https://cert-agid.gov.it/download/log4shell-iocs-raw-hash.txt
- MISP https://cert-agid.gov.it/download/log4shell-iocs-misp.txt
Gli indicatori forniti non sono ovviamente esaustivi. Il CERT-AGID, per quel che possibile, cercherà di mantenere aggiornata la lista.
Per chi voglia contribuire, può comunicarci gli ulteriori IoC a disposizione al seguente indirizzo email:
La parte più consistente di questa lista riguarda gli indirizzi IP da cui vengono effettuati gli attacchi e scaricati i payload malevoli . Consigliamo di utilizzarli sia come lista di blocco sia per le verifiche a posteriori per poter rilevare tentativi di attacco e/o compromissioni.
Vogliamo ringraziare per i loro contributi: