SICUREZZA INFORMATICA

Log4j, una vulnerabilità endemica che persisterà negli anni: raccomandazioni per mitigarla

Per risolvere la vulnerabilità Log4j le organizzazioni stanno spendendo risorse significative con conseguenti costi elevati e ritardi nelle attività “mission critical”. Per difendersi dalla minaccia possono quindi tornare utili le raccomandazioni del Dipartimento di sicurezza USA. Analizziamole nel dettaglio

22 Lug 2022
R
Martina Rossi

Analyst - Hermes Bay

S
Anna Vittoria Sica

Analyst, Hermes Bay

La minaccia collegata a Log4J è qui per restare, facendo danni ancora per molto tempo. Parola del Dipartimento di Sicurezza statunitense, nel primo rapporto del Cyber Safety Review Board (CSRB) pubblicato lo scorso 14 luglio.

Qui ha descritto la falla Log4j come una “vulnerabilità endemica”, che rimarrà probabilmente nei sistemi per oltre un decennio e costituirà una notevole fonte di rischio in futuro, nonostante l’impegno volto a risolvere la falla da parte delle varie organizzazioni.

Per questa ragione, le informazioni condivise dal CSRB includono 19 raccomandazioni attuabili dalle aziende per difendersi dalla minaccia di Log4j, considerata una delle vulnerabilità più gravi scoperte negli ultimi anni.

Le raccomandazioni per mitigare la vulnerabilità Log4j

La promozione di una migliore sicurezza nei prodotti software e il miglioramento della capacità delle organizzazioni del settore pubblico e privato a rispondere a gravi vulnerabilità sono tra le raccomandazioni principali diffuse dal CSRB.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter

Gli avvertimenti contenuti nel rapporto sono stati suddivisi in quattro categorie:

  1. affrontare i rischi a lungo termine di Log4j, ovvero essere in grado di vigilare sulle vulnerabilità procurate dal bug anche a distanza di anni;
  2. promuovere pratiche idonee per il mantenimento della sicurezza, implementando ad esempio pratiche software sicure ed in grado di gestire le vulnerabilità;
  3. costruire un ecosistema software migliore, varando verso un modello proattivo di gestione delle vulnerabilità;
  4. investimenti per il futuro, mirati allo sviluppo di software con capacità di gestione delle vulnerabilità.

Il rischio rappresentato dalla vulnerabilità di Log4j deriva da Apache Logging Project (Apache Log4j), una utility di logging basata su Java utilizzata da molte delle principali aziende tecnologiche del mondo per la loro infrastruttura web, tra cui Microsoft, Apple, Amazon, Cisco, Tesla, Twitter e Baidu.

Tale difetto, conosciuto come Log4Shell, consente l’esecuzione di codice remoto non autenticato, che può portare all’ottenimento del pieno controllo dei server interessati e quindi a potenziali furti di dati sensibili su larga scala. Questo genere di vulnerabilità può riguardare qualsiasi dispositivo informatico e si stima che abbia già avuto un forte impatto su oltre 3 miliardi di sistemi a livello globale.

La scoperta della vulnerabilità è avvenuta a seguito della segnalazione da parte di utenti di alcuni siti Web correlati al videogioco Minecraft. A seguito delle prime rivelazioni pubbliche di Log4j, avvenute nel dicembre dello scorso anno, i ricercatori hanno lanciato l’allarme, portando alla luce l’errore di progettazione. La problematica non si limita tuttavia al software Minecraft, ma si estende a migliaia di altri applicativi.

Nelle settimane seguenti la scoperta, è stato osservato un tasso sostenuto e costante di 2 milioni di tentativi di attacco ogni ora, e oltre la metà di questi (circa il 57%) proveniva da criminali informatici noti.

Log4j: i danni potenziali per le aziende

Una situazione tanto complessa può essere problematica per le aziende che devono proteggersi da potenziali danni, il difetto è infatti potenzialmente disastroso a causa dell’uso diffuso della libreria di registrazione Log4j in tutti i tipi di software aziendali e open source, dato che è semplice da usare, gratuito da scaricare ed efficace nella sua funzione. Ciò lo rende popolare tra gli sviluppatori Java, che lo hanno incorporato in migliaia di altri pacchetti software.

Dopo pochi giorni dalla pubblicazione del bug, aziende tra cui IBM, Oracle, AWS e Microsoft avevano tutte emesso avvisi ai clienti che utilizzavano Log4j, delineando i loro progressi sulle patch ed esortandoli a installare i relativi aggiornamenti di sicurezza il prima possibile.

Il vero problema è che se sfruttata, la vulnerabilità potrebbe consentire a un utente malintenzionato di assumere il controllo dei server Web basati su Java e lanciare attacchi di esecuzione di codice remoto, fornendo loro il controllo dei server dei computer.

Microsoft ha affermato di aver trovato prove del difetto utilizzato da gruppi rintracciati con sede in Cina, Corea del Nord, Turchia, Iran, nonché altri gruppi noti per la vendita di accesso ai sistemi allo scopo di attacchi ransomware.

Log4Shell: ecco come funziona l’exploit della vulnerabilità di Log4j

Una lezione per migliorare la sicurezza informatica delle aziende

Il CSRB si è confrontato con circa 80 organizzazioni ed esperti, sviluppatori di software, utenti finali, professionisti della sicurezza e aziende.

Il comitato ha dichiarato di non aver rilevato attacchi significativi basati su Log4j a sistemi di infrastrutture critiche tuttavia, come già sottolineato, le aziende stanno spendendo risorse significative per cercare di risolvere la falla. Nel rapporto si legge che sono state dedicate circa 33.000 ore per rispondere alle vulnerabilità di Log4j e ciò ha quindi comportato costi elevati e ritardato altre attività mission-critical, compresa la risposta ad altre vulnerabilità.

Nonostante i rischi, il Presidente del CSRB e Sottosegretario per le politiche del Dipartimento per la sicurezza interna degli Stati Uniti, Robert Silvers, ha dichiarato che il comitato è fiducioso e che le raccomandazioni inserite nel rapporto “guideranno il cambiamento e miglioreranno la sicurezza informatica”; inoltre ha affermato che “mai prima d’ora i leader del settore informatico e del governo si erano riuniti in questo modo per esaminare incidenti gravi, identificare ciò che era accaduto e consigliare l’intera comunità su come migliorare in futuro”.

WHITEPAPER
Quali caratteristiche delle VDI garantiscono un aumento di produttività
Datacenter
Virtualizzazione
@RIPRODUZIONE RISERVATA

Articolo 1 di 5