Grave Vulnerabilità Liferay sotto Attacco

Proto: N010420.

Con la presente Yoroi desidera informarla riguardo alla recente scoperta di una importante vulnerabilità all’interno di Liferay, framework open source utilizzato per la realizzazione di portali enterprise orizzontali basati su tecnologia Java. La criticità è nota con l'identificativo CVE-2020-7961.

A causa di lacune nelle routine di deserializzazione dei messaggi in formato JSON all’interno del framework Liferay, un attaccante di rete privo di autenticazione in grado di interagire con i Web Services (JSONWS) di Liferay può eseguire codice arbitrario all’interno del server bersaglio. 

Il Manutentore ha confermato la problematica rilasciando patch di sicurezza per le versioni di Liferay Portal 6.1, 6.2, 7.0, 7.1 e 7.2, consigliando l’aggiornamento alle versioni sicure: 

• Liferay Portal 7.2 GA2
• Liferay Portal 7.1 GA4
• Liferay Portal 7.0 GA7
• Liferay Portal 6.2 GA6

Considerata la potenziale esposizione internet dei servizi afflitti, la recente pubblicazione di strumenti e dettagli tecnici atti a replicare la problematica, ed le attività di attacco in-the-wild intercettate in queste giornate giornate, Yoroi consiglia caldamente di applicare con urgenza gli aggiornamenti di sicurezza Liferay rilasciati dal Manutentore e di valutare la limitazione dell’esposizione internet degli eventuali sistemi afflitti.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index