TwitterFacebookYoutubeLinkedInInstagramRSS

Podcast FOCUS

Newsletter

TUTTI GLI SPECIALI DI START MAGAZINE

Cybersecurity
Bitzlato

Log4j, ecco la nuova minaccia cibernetica

I ricercatori di sicurezza informatica di tutto il mondo mettono in guardia contro la vulnerabilità in Log4j. Gli aggressori pronti ad attaccare i sistemi vulnerabili per installare malware, rubare le credenziali degli utenti e altro ancora

 

Apocalisse cibernetica dalla falla in Log4j, libreria di log di Java, il linguaggio di programmazione più usato al mondo.

Il 9 dicembre in Italia ci ha pensato l’Agenzia per la cyberscicurezza nazionale a lanciare l’allarme di “una vasta e diversificata superficie di attacco sulla totalità della rete”, definendo la situazione “particolarmente grave”.

Jen Easterly, direttore della US Cybersecurity and Infrastructure Security Agency, l’agenzia per la cybersecurity degli Stati Uniti, afferma che il difetto di sicurezza rappresenta un “severo rischio” per Internet.

Il difetto in Log4j è una vulnerabilità zero-day (CVE-2021-44228) che è emersa per la prima volta il 9 dicembre. La vulnerabilità può consentire l’esecuzione di codice remoto non autenticato e l’accesso ai server ovvero un attacco chiamato Log4Shell. Il bug rende il linguaggio Java utilizzato da milioni di server web vulnerabile agli attacchi e i team di tutto il mondo stanno cercando di riparare i sistemi interessati prima che gli hacker possano sfruttarli.

“Quello lanciato dalla Agenzia Nazionale della Cybersicurezza è un autentico allarme rosso. Sono a rischio i sistemi informatici di aziende mondiali di primo piano” ha commentato l’avviso dell’Agenzia Pierguido Iezzi, ceo di Swascan, azienda del polo italiano della cybersicurezza del Gruppo Tinexta.

“Una criticità che potrebbe impattare su migliaia di altre aziende note e meno note” ha aggiunto. Il software è utilizzato in milioni di applicazioni web, incluso iCloud di Apple, Steam, Twitter e Amazon.

“In questo momento Internet è in fiamme”, sostiene Adam Meyers della società di sicurezza Crowdstrike. Il ceo della società di sicurezza informatica Tenable Amit Yoran l’ha definita “la singola vulnerabilità più grande e critica dell’ultimo decennio”.

Tutti i dettagli sulla vulnerabilità Log4j.

L’ALLARME LANCIATO IL 9 DICEMBRE

“Il 9 dicembre 2021 è stato reso pubblico un exploit zero-day che ha interessato la popolare utility Apache Log4j. Tale exploit permette di eseguire un codice non autorizzato: la vulnerabilità è estremamente critica” ha spiegato Iezzi.

“Lo zero day che ha attivato l’allerta massima di tutte le strutture predisposte alla Cyber Security mondiali — ha aggiunto il ceo di Swascan — rientra di fatto nei rischi legati all’utilizzo di software di terze parti, un altro aspetto del rischio legato alla Supply Chain. Un rischio che abbiamo dovuto gestire ed affrontare nell’ultimo anno passando dai casi di Solarwind al caso di Kaseya. Parliamo di aziende di primo piano da Twitter, Microsoft, Amazon, iCloud di Apple, Steam”.

LE AZIENDE INTERESSATE

Su Github, le società interessate includono: Apple, Tencent, Steam, Twitter, Baidu, DIDI, JD, NetEase, CloudFlare, Amazon, Tesla, Google, Webex, LinkedIn, ecc. La maggior parte delle aziende deve ancora rilasciare una dichiarazione.

La vulnerabilità è stata già sfruttata in Minecraft, il videogame di casa Microsoft che oggi conta oltre 140 milioni di utenti. Il colosso di Redmond è corso ai ripari con una patch per coprire la vulnerabilità. Ma gli utenti dovranno comunque adottare ulteriori misure per proteggere il gioco e i loro server.

UN RICERCATORE DI ALIBABA CLOUD HA INDIVIDATO LOG4SHELL

Il bug in Log4j che “apre le porte” all’attacco Log4Shell è nel codice da un po’ di tempo, ma è stato individuato solo alla fine del mese scorso da un ricercatore di sicurezza presso l’azienda informatica cinese Alibaba Cloud. Quest’ultimo ha segnalato il problema all’Apache Software Foundation, l’organizzazione no-profit americana che supervisiona centinaia di progetti open source tra cui Log4j, per darle il tempo di risolvere il problema prima che fosse rivelato pubblicamente.

COSA STA FACENDO L’APACHE SOFTWARE FOUNDATION

L’Apache Software Foundation, che gestisce il progetto, lo ha valutato 10 nella sua scala di rischio. La criticità dipende infatti della facilità con cui potrebbe essere sfruttato e della natura diffusa dello strumento.

LA PORTATA DELLA VULNERABILITÀ

Log4j è utilizzato in molte forme di software aziendale e open source, comprese piattaforme cloud, applicazioni Web e servizi di posta elettronica. Ciò significa che esiste un’ampia gamma di software che potrebbero essere a rischio dai tentativi di sfruttare la vulnerabilità.

Come spiega Agi, “Java è su circa 3 miliardi di dispositivi. E Log4j, sviluppato da Apache, è usato da quasi tutti i programmatori. Per dare un’idea del suo utilizzo e della sua affidabilità basti pensare che anche Ingenuity, l’elicottero della Nasa atterrato sul suolo di Marte lo scorso febbraio, ha un software che usa Log4j, come la stessa Apache ha reso noto sul proprio profilo Twitter”.

LE CONSEGUENZE

“Questa vulnerabilità — ha aggiunto Iezzi — permette all’attaccante di eseguire da remoto sul sistema obiettivo vulnerabile dei comandi non autorizzati. L’attaccante ha così il pieno accesso alla macchina. Potrà sottrarre i dati, trasformarla in un vettore di attacco, e muoversi lateralmente all’interno dell’infrastruttura per attuare azioni malevoli”.

COSA BISOGNA FARE SECONDO L’ESPERTO IEZZI (SWASCAN)

“Il ruolo di coordinamento dell’Agenzia per la cybersicurezza nazionale è indispensabile — conclude Iezzi — ma allo stesso tempo è necessario e obbligatorio che le aziende adottino un framework di cyber security che deve necessariamente basarsi sulla sicurezza predittiva, preventiva e proattiva”.

INSTALLARE GLI AGGIORNAMENTI

“Nel caso della vulnerabilità CVE-2021-44228, l’aspetto più importante è installare gli ultimi aggiornamenti non appena possibile”, afferma un avviso del National Cyber ​​Security Center (NCSC) del Regno Unito.

COSA HA FATTO IL CERT AGID

Infine, nel nostro paese il Cert-Agid, ovvero il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, sta raggruppando gli IoC (Indicatori di Compromissione) pubblici individuati dalle comunità di ricercatori di sicurezza oltre a quelli che riesce a rilevare dai vari log delle proprie infrastrutture, per poterli utilizzare come contrasto alle ondate di scansioni che si stanno verificando al fine di sfruttare la vulnerabilità di Log4j.

“Fno ad oggi per accedere agli indicatori delle campagne malevole gestiti e censiti quotidianamente dal Cert-Agid era necessario disporre di tre requisiti” spiega il Cert sul sito. Ovvero: “essere una Pubblica Amministrazione; Accreditarsi presso il Cert-Agid; Dotarsi di una opportuna instanza MISP o del client di interfacciamento CNTI sviluppato dallo stesso Cert-Agid “.

“Data la gravità della vulnerabilità e la semplicità con la quale la stessa può essere sfruttata, Cert-Agid ha deciso di rendere disponibili a tutti questi IoC” ha concluso.

Articoli correlati

Back To Top