Log4j è e rimane una pericolosa vulnerabilità quasi tre mesi dopo la sua divulgazione. E anche se non sono ancora in corso attacchi, i responsabili della sicurezza IT dovrebbero presumere che i criminali informatici abbiano ottenuto l'accesso ai sistemi IT. Di Cristian Avram, Senior Solution Architect di Bitdefender.
Per difendersi efficacemente da attacchi imminenti sarà quindi necessario nei prossimi mesi localizzare e chiudere immediatamente i punti deboli e monitorare il proprio traffico informatico e di rete.
Log4j: un carico a lungo termine
Gli hacker possono eseguire codice in remoto utilizzando la libreria di accesso Log4J ampiamente utilizzata. La vulnerabilità CVE-9-2021, annunciata il 2021 dicembre 44228, è particolarmente pericolosa a causa dell'uso diffuso dello standard de facto Log4J in un'ampia varietà di applicazioni web. Molte aziende non sanno se e dove hanno implementato Log4j nei loro sistemi. Già nel dicembre 2021, Bitdefender Labs ha notato azioni specifiche da parte dei criminali informatici, ad esempio installare cryptominer tramite botnet o lanciare nuovi attacchi ransomware.
Anche se la grande ondata di attacchi apparentemente non si è ancora concretizzata, si può presumere una situazione di rischio altamente dinamica. Poiché è così facile installare codice eseguibile remoto tramite Log4j, il pericolo è imminente. Gli aggressori utilizzano anche Log4J come gateway per ottenere l'accesso alla rete aziendale. Si può presumere che seguiranno gli attacchi veri e propri, perché inizialmente gli hacker hanno messo piede nella porta della rete aziendale nel modo più discreto possibile. Molti degli attacchi attualmente in preparazione che inizieranno nel prossimo futuro potrebbero non essere più rilevati a seguito di un'intrusione tramite Log4j.
Incertezza tra produttori e aziende
La stessa libreria Log4j offre una funzione molto utile e semplice per registrare ed elaborare le richieste ai sistemi. Ecco perché è diventato lo standard de facto. Come framework versatile e multipiattaforma, funziona su vari sistemi operativi come Windows, Linux, macOS e FreeBSD. Java – e quindi Log4J – viene utilizzato, ad esempio, in webcam, sistemi di navigazione per auto, terminali, lettori DVD, set-top box, dispositivi medici e persino nei parchimetri. Tuttavia, questo crea un problema: molti amministratori IT non sapranno quali applicazioni collegano la loro rete aziendale a Internet tramite Log4j. Non è un caso che i dati di telemetria di Bitdefender, ovvero le informazioni dai sistemi Bitdefender installati, mostrino che molti team di sicurezza stanno affrontando potenziali vulnerabilità per vedere se sono interessate.
E non sei solo con questa mancanza di visione d'insieme. Anche i fornitori di software oi progetti open source non sanno se i loro prodotti o progetti contengono la vulnerabilità. Come tutte le aziende, devono farsi un'idea dello stato della sicurezza e ora stanno informando i propri clienti – o continueranno a farlo nel prossimo futuro.
Cinque consigli per la "maratona Log4J" dei prossimi mesi
In questa situazione di rischio poco chiara e in continua evoluzione, i responsabili della sicurezza IT nelle aziende e i fornitori di sicurezza gestita devono essere molto vigili nei prossimi mesi al servizio dei propri clienti. I seguenti consigli aiuteranno a identificare i rischi e bloccare gli attacchi a breve e lungo termine:
- 1. Patch e aggiornamento immediato dove la vulnerabilità è già nota: le aziende dovrebbero importare immediatamente tutte le patch disponibili per le loro applicazioni secondo le istruzioni del fornitore del software. Questo principio vale ora più che mai.
- 2. Inventario dell'infrastruttura IT e della distinta base del software: gli amministratori devono controllare l'intera infrastruttura e l'eventuale software. Ciò consente di identificare tutti i sistemi che hanno implementato un framework di logging Apache Lofj2. Segue l'aggiornamento alla versione 4 di Log2.17.1j.
- 3. Controllare la catena di fornitura del software per gli aggiornamenti: una volta che gli amministratori IT sanno quali sistemi sono interessati, dovrebbero tenersi informati se i rispettivi progetti di software open source. I fornitori di prodotti software commerciali forniscono patch. Quali misure consigliate per colmare il divario?
- 4. Non dimenticare i sistemi senza accesso diretto a Internet: ovviamente, le applicazioni ei sistemi che sono direttamente connessi a Internet hanno la massima priorità nell'inventario della sicurezza. Ma molti hacker utilizzano questa porta d'ingresso solo come punto di partenza per movimenti laterali per attaccare altri sistemi. Pertanto, i responsabili dell'IT dovrebbero essere altrettanto vigili nel monitorare e proteggere i sistemi senza una connessione diretta a Internet.
- 5. È ora di una difesa in profondità: sfruttare Log4j è il primo passo, lanciare un attacco è il successivo. Ciò potrebbe dare agli amministratori IT il tempo di prepararsi e impedire che una vulnerabilità diventi un vero e proprio incidente di sicurezza. I dati di telemetria mostrano quali moduli di sicurezza informatica impediscono agli aggressori di sfruttare la vulnerabilità. Si inizia con la protezione a livello di rete: Threat Intelligence fornisce informazioni sulla reputazione di URL o indirizzi IP. Ma anche il malware statico sta facendo la sua parte e ha installato cryptominer o noti payload dannosi. Questo non solo offre protezione contro questi attacchi. Gli amministratori e i fornitori di sicurezza gestita dovrebbero anche presumere che questi attacchi continueranno a diffondersi. Extended Detection and Response (XDR) rileva i movimenti laterali da un sistema all'altro. Tecniche avanzate di rilevamento delle minacce identificano comportamenti sospetti nei processi. Esperti esterni di un servizio di rilevamento e risposta gestiti (MDR) aiutano a identificare i rischi e gli attacchi.
Difendersi dagli attacchi tramite Log4j sarà un compito a lungo termine. Gli amministratori dovrebbero monitorare molto attentamente l'accesso alla loro rete e ciò che sta accadendo sulla rete nei prossimi mesi. Ogni anomalia deve essere verificata. In particolare, gli amministratori IT e i fornitori di servizi gestiti dovrebbero prendere sul serio qualsiasi segno di reverse TCP shell.
Altro su Bitdefender.com
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de