Log4j richiede la capacità di resistenza della difesa informatica

9. Marzo 2022
| Non ci sono commenti
Bitdefender_Notizie

Condividi post

Log4j è e rimane una pericolosa vulnerabilità quasi tre mesi dopo la sua divulgazione. E anche se non sono ancora in corso attacchi, i responsabili della sicurezza IT dovrebbero presumere che i criminali informatici abbiano ottenuto l'accesso ai sistemi IT. Di Cristian Avram, Senior Solution Architect di Bitdefender.

Per difendersi efficacemente da attacchi imminenti sarà quindi necessario nei prossimi mesi localizzare e chiudere immediatamente i punti deboli e monitorare il proprio traffico informatico e di rete.

Log4j: un carico a lungo termine

Gli hacker possono eseguire codice in remoto utilizzando la libreria di accesso Log4J ampiamente utilizzata. La vulnerabilità CVE-9-2021, annunciata il 2021 dicembre 44228, è particolarmente pericolosa a causa dell'uso diffuso dello standard de facto Log4J in un'ampia varietà di applicazioni web. Molte aziende non sanno se e dove hanno implementato Log4j nei loro sistemi. Già nel dicembre 2021, Bitdefender Labs ha notato azioni specifiche da parte dei criminali informatici, ad esempio installare cryptominer tramite botnet o lanciare nuovi attacchi ransomware.

Anche se la grande ondata di attacchi apparentemente non si è ancora concretizzata, si può presumere una situazione di rischio altamente dinamica. Poiché è così facile installare codice eseguibile remoto tramite Log4j, il pericolo è imminente. Gli aggressori utilizzano anche Log4J come gateway per ottenere l'accesso alla rete aziendale. Si può presumere che seguiranno gli attacchi veri e propri, perché inizialmente gli hacker hanno messo piede nella porta della rete aziendale nel modo più discreto possibile. Molti degli attacchi attualmente in preparazione che inizieranno nel prossimo futuro potrebbero non essere più rilevati a seguito di un'intrusione tramite Log4j.

Incertezza tra produttori e aziende

La stessa libreria Log4j offre una funzione molto utile e semplice per registrare ed elaborare le richieste ai sistemi. Ecco perché è diventato lo standard de facto. Come framework versatile e multipiattaforma, funziona su vari sistemi operativi come Windows, Linux, macOS e FreeBSD. Java – e quindi Log4J – viene utilizzato, ad esempio, in webcam, sistemi di navigazione per auto, terminali, lettori DVD, set-top box, dispositivi medici e persino nei parchimetri. Tuttavia, questo crea un problema: molti amministratori IT non sapranno quali applicazioni collegano la loro rete aziendale a Internet tramite Log4j. Non è un caso che i dati di telemetria di Bitdefender, ovvero le informazioni dai sistemi Bitdefender installati, mostrino che molti team di sicurezza stanno affrontando potenziali vulnerabilità per vedere se sono interessate.

E non sei solo con questa mancanza di visione d'insieme. Anche i fornitori di software oi progetti open source non sanno se i loro prodotti o progetti contengono la vulnerabilità. Come tutte le aziende, devono farsi un'idea dello stato della sicurezza e ora stanno informando i propri clienti – o continueranno a farlo nel prossimo futuro.

Cinque consigli per la "maratona Log4J" dei prossimi mesi

In questa situazione di rischio poco chiara e in continua evoluzione, i responsabili della sicurezza IT nelle aziende e i fornitori di sicurezza gestita devono essere molto vigili nei prossimi mesi al servizio dei propri clienti. I seguenti consigli aiuteranno a identificare i rischi e bloccare gli attacchi a breve e lungo termine:

  • 1. Patch e aggiornamento immediato dove la vulnerabilità è già nota: le aziende dovrebbero importare immediatamente tutte le patch disponibili per le loro applicazioni secondo le istruzioni del fornitore del software. Questo principio vale ora più che mai.
  • 2. Inventario dell'infrastruttura IT e della distinta base del software: gli amministratori devono controllare l'intera infrastruttura e l'eventuale software. Ciò consente di identificare tutti i sistemi che hanno implementato un framework di logging Apache Lofj2. Segue l'aggiornamento alla versione 4 di Log2.17.1j.
  • 3. Controllare la catena di fornitura del software per gli aggiornamenti: una volta che gli amministratori IT sanno quali sistemi sono interessati, dovrebbero tenersi informati se i rispettivi progetti di software open source. I fornitori di prodotti software commerciali forniscono patch. Quali misure consigliate per colmare il divario?
  • 4. Non dimenticare i sistemi senza accesso diretto a Internet: ovviamente, le applicazioni ei sistemi che sono direttamente connessi a Internet hanno la massima priorità nell'inventario della sicurezza. Ma molti hacker utilizzano questa porta d'ingresso solo come punto di partenza per movimenti laterali per attaccare altri sistemi. Pertanto, i responsabili dell'IT dovrebbero essere altrettanto vigili nel monitorare e proteggere i sistemi senza una connessione diretta a Internet.
  • 5. È ora di una difesa in profondità: sfruttare Log4j è il primo passo, lanciare un attacco è il successivo. Ciò potrebbe dare agli amministratori IT il tempo di prepararsi e impedire che una vulnerabilità diventi un vero e proprio incidente di sicurezza. I dati di telemetria mostrano quali moduli di sicurezza informatica impediscono agli aggressori di sfruttare la vulnerabilità. Si inizia con la protezione a livello di rete: Threat Intelligence fornisce informazioni sulla reputazione di URL o indirizzi IP. Ma anche il malware statico sta facendo la sua parte e ha installato cryptominer o noti payload dannosi. Questo non solo offre protezione contro questi attacchi. Gli amministratori e i fornitori di sicurezza gestita dovrebbero anche presumere che questi attacchi continueranno a diffondersi. Extended Detection and Response (XDR) rileva i movimenti laterali da un sistema all'altro. Tecniche avanzate di rilevamento delle minacce identificano comportamenti sospetti nei processi. Esperti esterni di un servizio di rilevamento e risposta gestiti (MDR) aiutano a identificare i rischi e gli attacchi.

Difendersi dagli attacchi tramite Log4j sarà un compito a lungo termine. Gli amministratori dovrebbero monitorare molto attentamente l'accesso alla loro rete e ciò che sta accadendo sulla rete nei prossimi mesi. Ogni anomalia deve essere verificata. In particolare, gli amministratori IT e i fornitori di servizi gestiti dovrebbero prendere sul serio qualsiasi segno di reverse TCP shell.

Altro su Bitdefender.com

 

Informazioni su Bitdefender

Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati ​​e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de

 

Articoli relativi all'argomento

Rapporto: 40% di phishing in più in tutto il mondo

L’attuale rapporto su spam e phishing di Kaspersky per il 2023 parla da solo: gli utenti in Germania sono alla ricerca ➡ Leggi di più

BSI stabilisce gli standard minimi per i browser web

La BSI ha rivisto lo standard minimo per i browser web per l'amministrazione e ha pubblicato la versione 3.0. Puoi ricordartelo ➡ Leggi di più

Il malware invisibile prende di mira le aziende europee

Gli hacker stanno attaccando molte aziende in tutta Europa con malware invisibili. I ricercatori ESET hanno segnalato un drammatico aumento dei cosiddetti attacchi AceCryptor tramite ➡ Leggi di più

Sicurezza informatica: base per LockBit 4.0 disinnescata

Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Test: software di sicurezza per endpoint e singoli PC

Gli ultimi risultati dei test del laboratorio AV-TEST mostrano ottime prestazioni di 16 soluzioni di protezione affermate per Windows ➡ Leggi di più

FBI: Internet Crime Report conta 12,5 miliardi di dollari di danni 

L'Internet Crime Complaint Center (IC3) dell'FBI ha pubblicato il suo Internet Crime Report 2023, che include informazioni provenienti da oltre 880.000 persone ➡ Leggi di più

HeadCrab 2.0 scoperto

La campagna HeadCrab contro i server Redis, attiva dal 2021, continua a infettare con successo gli obiettivi con la nuova versione. Il miniblog dei criminali ➡ Leggi di più

Bitdefender, Brevi notizie