Qualys ha annunciato di aver reso disponibile gratuitamente per 30 giorni la propria soluzione Web Application Scanning (WAS) per aiutare le aziende a proteggersi da Log4Shell.
La vulnerabilità zero-day RCE Log4Shell di Apache ha sollevato allarmi nelle aziende di tutto il mondo, con funzionari del governo degli Stati Uniti che l’hanno definita “una delle vulnerabilità più gravi che siano mai state viste“. La vulnerabilità pone potenziali minacce per quasi ogni singola applicazione web, con l’elenco degli exploit conosciuti che cresce di giorno in giorno.
Le funzionalità di scansione offerte dalle applicazioni web sono essenziali per rilevare queste vulnerabilità, in quanto simulano l’attacco degli exploit di Log4Shell. Per aiutare i propri clienti a proteggersi da questa minaccia, Qualys ha reso disponibile gratuitamente per 30 giorni, la propria App WAS, che analizza le applicazioni web e le API in merito alla vulnerabilità Log4Shell (CVE-2021-44228).
Qualys WAS effettua rilevamenti accurati delle applicazioni vulnerabili a Log4Shell attraverso gli avanzati meccanismi di rilevamento out-of-band. Per identificare i siti vulnerabili, WAS utilizza payload appositamente creati per simulare lo stesso modello di attacco utilizzato dalle persone malintenzionate. I siti vulnerabili vengono così rapidamente e facilmente identificati per le opportune attività di remediation, chiudendo la porta agli aggressori prima ancora che gli utenti si accorgano di essere stati esposti.
Come sottolineato in una nota ufficiale da Sumedh Thakar, Presidente e CEO di Qualys: «Log4Shell è la vulnerabilità più dannosa che abbiamo rilevato negli ultimi dieci anni e aiutare la comunità a combattere questa minaccia senza precedenti è una delle nostre priorità. Molte organizzazioni stanno impazzendo per trovare il modo di rilevare la loro esposizione a Log4Shell e ci auguriamo che l’accesso gratuito alla nostra app, insieme agli script open-source che abbiamo rilasciato, aiutino i team di sicurezza a valutare rapidamente e mettere in sicurezza la propria superficie di attacco web esterna».
Per accedere al servizio WAS gratuito per 30 giorni, andare su qualys.com/was-log4j-trial. Per ulteriori informazioni sull’utilizzo di WAS per rilevare la vulnerabilità Log4Shell, leggere il blog, La tua applicazione web può essere sfruttata dalla vulnerabilità di Log4 Shell