Vulnerabilità di Log4j – Cosa bisogna sapere

Source: WSJ

Un difetto nel software Internet ampiamente utilizzato noto come Log4j ha lasciato le aziende e i funzionari governativi in ​​difficoltà per rispondere a un’evidente minaccia alla sicurezza informatica per le reti informatiche globali.

Secondo gli esperti di sicurezza, il bug rivelato la scorsa settimana potrebbe consentire attacchi informatici potenzialmente devastanti che abbracciano settori economici e confini internazionali.

Funzionari statunitensi hanno affermato che centinaia di milioni di dispositivi sono a rischio e venerdì hanno emesso una direttiva di emergenza che ordina alle agenzie federali di adottare misure immediate per mitigare la minaccia. Ricercatori e importanti aziende tecnologiche hanno avvertito che gli hacker collegati a governi stranieri e gruppi criminali di ransomware stavano indagando su come sfruttare la vulnerabilità all’interno dei sistemi informatici degli obiettivi.

Ecco cosa sappiamo del difetto Log4j:

Cos’è Log4j?
Gli sviluppatori di software utilizzano il framework Log4j per registrare l’attività dell’utente e il comportamento delle applicazioni per la successiva revisione. Distribuito gratuitamente dall’organizzazione no-profit Apache Software Foundation, Log4j è stato scaricato milioni di volte ed è uno degli strumenti più utilizzati per raccogliere informazioni su reti di computer aziendali, siti Web e applicazioni. Il software è gestito da volontari Apache, cinque dei quali hanno lavorato 24 ore su 24 negli ultimi giorni per rilasciare aggiornamenti di sicurezza.

In che modo gli hacker possono sfruttare la vulnerabilità di Log4j?
Il difetto Log4j, divulgato da Apache la scorsa settimana, consente agli aggressori di eseguire codice in remoto su un computer di destinazione, il che significa che possono rubare dati, installare malware o assumere il controllo. Alcuni criminali informatici hanno installato software che utilizza un sistema compromesso per estrarre criptovalute, mentre altri hanno sviluppato malware che consente agli aggressori di dirottare i computer per attacchi su larga scala all’infrastruttura Internet.

Gli esperti di sicurezza sono particolarmente preoccupati che la vulnerabilità possa fornire agli hacker un punto d’appoggio sufficiente all’interno di un sistema per installare ransomware, un tipo di virus informatico che blocca dati e sistemi fino a quando gli aggressori non vengono pagati dalle vittime. La società di sicurezza F-Secure Oyj ha affermato che i suoi analisti hanno osservato che alcune varianti di ransomware vengono già distribuite tramite il difetto, insieme a malware che viene spesso distribuito come precursore di un attacco ransomware.

“Per essere chiari, questa vulnerabilità rappresenta un grave rischio”, ha affermato Jen Easterly, direttore della Cybersecurity and Infrastructure Security Agency, in una dichiarazione rilasciata domenica.

I governi stranieri stanno approfittando del difetto?
La società di sicurezza Mandiant Inc. e Microsoft Corp. hanno affermato di aver tracciato i tentativi di attacchi che sfruttano la falla per gli hacker con sospetti collegamenti con Cina e Iran. Microsoft ha affermato che uno dei gruppi è lo stesso responsabile di un hack del suo prodotto di posta elettronica Exchange Server all’inizio di quest’anno, che gli Stati Uniti hanno attribuito alla Cina. Pechino nega il coinvolgimento nell’attacco.

Microsoft ha affermato di aver visto anche hacker sostenuti dalla Corea del Nord e dalla Turchia tentare di sfruttare Log4j.

La società di sicurezza informatica SecurityScorecard Inc. ha dichiarato giovedì di aver osservato scansioni per la vulnerabilità legata agli hacker con sede in Russia, incluso il gruppo accusato di aver violato il Comitato nazionale democratico nel 2016.

I ricercatori di Check Point Software Technologies Ltd. hanno affermato venerdì di aver tracciato oltre 3,8 milioni di tentativi di hacker per individuare la vulnerabilità, prendendo di mira quasi la metà delle reti dei loro clienti aziendali.

Come sta rispondendo il governo degli Stati Uniti?
I funzionari affermano di essere stati in contatto frequente con società di sicurezza informatica, fornitori di servizi cloud e aziende di telecomunicazioni per condividere informazioni sulla minaccia e tentativi di mitigarla. L’amministrazione Biden venerdì ha ordinato alle agenzie federali di individuare il software connesso a Internet che utilizza Log4j e aggiornare immediatamente tali strumenti, rafforzare le loro misure di sicurezza o portarli offline.

Eric Goldstein, assistente direttore esecutivo della Cybersecurity and Infrastructure Security Agency, ha dichiarato martedì sera di non essere a conoscenza di alcuna agenzia violata utilizzando il difetto Log4j. Finora, ha affermato Goldstein, i funzionari statunitensi hanno osservato attività di livello relativamente basso, come gli hacker che installano strumenti di mining di criptovaluta sulle reti delle vittime.

Ma certamente siamo profondamente preoccupati per la prospettiva che gli avversari utilizzino questa vulnerabilità per causare danni reali e persino avere un impatto sulle funzioni critiche nazionali”, ha aggiunto Goldstein.

La CISA ha creato una pagina informativa con raccomandazioni.

Come sta rispondendo l’Europa?
I team di risposta alla sicurezza informatica per i 27 paesi dell’Unione Europea si sono incontrati praticamente lunedì e hanno intensificato il monitoraggio degli sviluppi di Log4j in modalità di allerta. Gli esperti delle unità nazionali di tutta Europa si scambiano costantemente informazioni tecniche su ciò che vedono, ha affermato Gorazd Bozic, presidente della rete di unità di risposta agli incidenti dei paesi dell’UE.

La rete potrebbe passare a un livello di emergenza più elevato se si verificasse un grave exploit in Europa, ha affermato Bozic. “Questo può accadere domani, a meno che i fornitori non siano abbastanza veloci da riparare tutto”, ha detto. Finora, gli analisti hanno visto tentativi poco sofisticati di sfruttare Log4j, come gli aggressori che cercavano di installare software per il mining di criptovalute, ha affermato.

Gli esperti del Centro belga per la sicurezza informatica sono stati in contatto con le società locali per tutta la settimana dopo aver pubblicato un rapporto su come identificare se la vulnerabilità fosse stata compromessa, ha affermato Kevin Holvoet, analista di intelligence sulle minacce informatiche presso l’agenzia. Gli analisti hanno visto continui tentativi di scansione per attivare il bug e sforzi di ricognizione, ma l’agenzia non ha ricevuto segnalazioni di sfruttamento, ha affermato.

Il National Cyber ​​Security Center del Regno Unito ha pubblicato i passaggi per aiutare le aziende a identificare la vulnerabilità nella loro infrastruttura IT. Il National Cyber ​​Security Center olandese sta mantenendo un elenco di software che è e non è interessato dalla vulnerabilità.

In Romania, la Direzione nazionale della sicurezza informatica ha inviato avvisi individuali alle aziende e agli operatori di infrastrutture critiche attraverso una piattaforma che utilizza per condividere informazioni sulle minacce informatiche in tempo reale, ha affermato Dan Cimpean, direttore dell’organizzazione. Gli analisti stanno raccogliendo dati su come le aziende e gli operatori di infrastrutture critiche sono stati colpiti dalla vulnerabilità di Log4j, ma il signor Cimpean ha affermato di non aver visto alcun segno di un incidente grave in Romania. Se un’azienda rumena viene compromessa, gli esperti informatici dell’agenzia potrebbero intervenire per aiutare, ha affermato. “Abbiamo gli strumenti per intensificare una risposta molto rapida, se necessario”, ha affermato.

Quanto è diffuso il difetto Log4j?
I sistemi con connessione a Internet e i sistemi di back-end potrebbero contenere la vulnerabilità. Il software Log4j è ampiamente utilizzato nello sviluppo di software aziendali. “Probabilmente milioni di server sono a rischio”, ha affermato Lou Steinberg, fondatore di CTM Insights LLC, un incubatore tecnologico.

Una portavoce di Apache ha affermato che la natura del modo in cui Log4j viene inserito in diversi software rende impossibile monitorare la portata dello strumento.

Quali fornitori di tecnologia sono interessati dalla vulnerabilità Log4j?
Tanti, e la lista si allunga. Tra questi ci sono Apple Inc., Amazon.com Inc., Cloudflare Inc., IBM, Minecraft di Microsoft Corp., Palo Alto Networks Inc. e Twitter Inc. Diverse aziende tecnologiche hanno emesso avvisi e indicazioni ai clienti su come ridurre il loro rischio.

In che modo le aziende possono risolvere il problema Log4j?
CISA suggerisce di identificare immediatamente i dispositivi con connessione a Internet che dispongono di Log4j e di garantire che il team di sicurezza risponda agli avvisi relativi a questi dispositivi. Inoltre, installa un firewall per applicazioni Web con regole che si aggiornano automaticamente in modo che il tuo team possa concentrarsi su un minor numero di avvisi.

Sono disponibili alcune patch e indicazioni tecniche. L’organizzazione Apache ha rilasciato diversi aggiornamenti negli ultimi giorni e ha consigliato l’aggiornamento all’ultima versione dello strumento Log4j. Oracle Corp. ha rilasciato le proprie patch venerdì. Microsoft ha consigliato una serie di passaggi per mitigare il rischio di sfruttamento, incluso contattare i fornitori di applicazioni software per assicurarsi che stiano utilizzando la versione più aggiornata del linguaggio di programmazione Java, che includerebbe le patch.

Al posto delle patch disponibili, Teresa Walsh, capo globale dell’intelligence presso il Financial Services Information Sharing and Analysis Center, raccomanda alle aziende di limitare il traffico Internet in uscita non necessario, il che contribuirebbe in qualche modo a proteggere i sistemi vulnerabili.

“Le aziende possono ridurre il rischio riducendo la loro esposizione”, ha affermato.

Email per registrazione

I prossimi robot

Gato è prototipo dei programmi di intelligenza artificiale di ultimo generazione sviluppato do DeepMind, la societal di Google che si occupa di Ai. Gato tecnicamente e un agente generalists, o

Portale degli incentivi del Mise è online

Da citare il sito web raggiungibile all’indirizzo incentivi.gov.it, che il 2 giugno è stato rilasciato dal MISE per fornire un supporto chiaro e sburocratizzato a tutti coloro che vogliono sapere