Quanto comodo sarebbe se fosse possibile simulare un vero cyber-attacco sulla propria rete? Quanti insight si potrebbero trarre sulla propria strategia di sicurezza prima che colpiscano realmente le nostre difese? Questo è esattamente ciò che consente di fare Infection Monkey, una piattaforma gratuita e open source per la simulazione di violazioni e attacchi (BAS) per mettere alla prova e valutare continuamente la propria strategia di sicurezza.
Consentendo di simulare rapidamente e in modo sicuro la presenza di un finto malware nel proprio ambiente, Infection Monkey permette alle aziende di testare ciò che accadrebbe in caso di attacco vero e proprio e utilizzare dati reali, anziché basarsi su scenari ipotetici. Questo aiuta le aziende a convalidare i controlli esistenti e a identificare come i criminali potrebbero sfruttare le attuali lacune nella sicurezza della rete.
Prevenire è meglio che curare
Da dicembre 2021, i criminali informatici hanno sfruttato una vulnerabilità software in Apache Log4j 2, una popolare libreria Java per la registrazione dei messaggi di errore nelle applicazioni. Questa vulnerabilità Log4Shell permette a un attaccante remoto di eseguire un codice arbitrario sui dispositivi che eseguono alcune versioni di Apache Log4j 2.
Oggi le aziende dovrebbero aver adottato tutte le misure consigliate per proteggere le proprie reti dagli exploit Log4Shell: è il momento, quindi, di mettere tali difese alla prova. Akamai ha aggiunto un exploiter Log4Shell a Infection Monkey perché i clienti possano essere sicuri di essere protetti, ma anche di trovare le aree di vulnerabilità ancora presenti.
Per esempio, dagli ultimi sforzi di remediation, qualcuno potrebbe aver accidentalmente implementato una versione obsoleta del software che è ancora vulnerabile. O forse l’IDS funzionava ieri ma oggi, per qualche motivo, presenta dei malfunzionamenti. Inoltre, si potrebbe non avere completa visibilità sulla propria rete per identificare i tentativi di exploit delle vulnerabilità per propagare codice malevolo al suo interno.
Nuove capacità di test per le vulnerabilità Log4Shell
Per supportare le aziende nell’affrontare questa vulnerabilità critica, Guardicore (che ora fa parte di Akamai) ha aggiunto una nuova capacità di simulazione di attacco Log4Shell a Infection Monkey.
Alcune versioni di Apache Log4j, framework di registrazione Java, includono una funzione di registrazione chiamata “Message Lookup Substitution” abilitata per default. Gli attori malevoli possono sfruttare questa caratteristica sostituendo alcune stringhe speciali con stringhe generate dinamicamente al momento della registrazione. Se un attaccante può controllare i messaggi di log o i parametri dei messaggi di log, il codice arbitrario può essere eseguito. L’exploiter Log4Shell di Infection Monkey simula un attacco in cui un hacker sfrutta questa vulnerabilità per propagarsi all’interno di una macchina target.
Infection Monkey tenterà di sfruttare la vulnerabilità Log4Shell nei seguenti servizi:
- Apache Solr
- Apache Tomcat
- Logstash
Anche se nessuno di questi è in uso nel proprio ambiente, l’esecuzione dell’exploiter Log4Shell offre un buon modo per testare le soluzioni IDS/IPS o EDR. Queste soluzioni dovrebbero rilevare che Infection Monkey sta tentando di sfruttare la vulnerabilità di Log4Shell e lanciare un alert appropriato.
È possibile scaricare l’ultima versione di Infection Monkey a questo link.
