800 561720
L’avvertimento arriva dagli Stati Uniti: sono centinaia di milioni i dispositivi a rischio a causa della vulnerabilità software rivelata. Si tratta di Log4j, software ampiamente diffuso e basato su Java, utilizzato dalle aziende per registrare le attività degli utenti al fine di eseguire controlli di sicurezza.
“Questa vulnerabilità è una delle più gravi che ho visto in tutta la mia carriera, se non la più grave”, ha dichiarato Jen Easterly, direttore della US Cybersecurity and Infrastructure Security Agency (CISA). “Ci aspettiamo che la vulnerabilità sia ampiamente sfruttata da attori specializzati” continua Jen Easterly, “e abbiamo un tempo limitato per prendere le misure necessarie al fine di ridurre la probabilità di incidenti dannosi”.
Nei bollettini rilasciati da CSIRT Italia (Computer Security Incident Response Team, facente parte dell’Agenzia per la cybersicurezza nazionale), è stata comunicata la disponibilità del cd. “PoC” (Proof of Concept) che semplifica lo sfruttamento della vulnerabilità, ora alla portata anche di attori non specializzati. Il Proof of Concept, dimostrazione dell’esistenza del software malevolo, ha mostrato un livello di criticità alto, si stima quindi un impatto importante sulla comunità di riferimento.
Come scoprire se l’azienda è effettivamente vulnerabile e cosa si rischia? Lo vediamo nell’articolo di oggi.
Ampia diffusione e facile accesso
Log4j è una libreria Java per il logging, che viene utilizzata di frequente nello sviluppo di sistemi aziendali. Spesso viene direttamente integrata in importanti applicativi o inclusa in vari software open-source, per tale ragione la portata dell’impatto si estende a migliaia di prodotti e servizi. Inoltre, essendo una libreria Java, per sua natura multipiattaforma, l’impatto si ripercuote su architettura sia Windows sia Linux, in particolare su sistemi aziendali che fanno ancora ampio uso di Java come linguaggio di programmazione, così come sulle applicazioni web e su molti servizi mainstream.
Il CSIRT aggiunge che sono potenzialmente vulnerabili anche i sistemi di backend e i microservizi. L'elevato utilizzo della libreria comporta quindi la presenza di una vasta e diversificata superficie di attacco sulla totalità della rete Internet.
Oltre all’ampia diffusione, la vulnerabilità viene qualificata come critica per la facilità di accesso alla stessa, per queste ragioni ha raggiunto il punteggio massimo nella classifica “Common Vulnerability Scoring System” (CVSS pari a 10).
Lo standard CVSS ha lo scopo di assegnare dei valori alla gravità di una determinata vulnerabilità, i punteggi sono calcolati sulla base di una formula che dipende da diverse metriche, le quali considerano sia la facilità di accesso, che l'impatto di un exploit. Nel caso di Log4j (dalla versione 2.0 fino alla 2.14.1), la vulnerabilità “Log4Shell” consente l'esecuzione di qualsiasi codice da remoto (RCE - remote code execution) senza autenticazione.
Gli aggressori quindi hanno vita facile: non necessitano di un accesso preventivo al sistema, e possono inviare direttamente una richiesta al fine di generare un log dannoso nel registro dell'applicazione. In questo modo, durante l’elaborazione del registro, il sistema si troverà nelle condizioni di eseguire il codice malevolo. Il codice funge da trigger di attivazione del virus e consente al software di eseguire il payload malevolo (che include la richiesta di connessione ad un dominio dannoso), per l’attaccante diviene quindi possibile acquisire il controllo dell'applicazione interessata e l'accesso completo al sistema.
La semplicità di sfruttamento rende la vulnerabilità utilizzabile anche da attori non specializzati, grazie alla presenza di un PoC funzionante in rete.
Conseguenze e rischi concreti per le aziende
Dal momento della scoperta della vulnerabilità (il 10 dicembre) sono già state rilevate numerose attività malevole, volte allo sfruttamento dell’exploit per la distribuzione di payload malevoli. Eric Goldstein, assistente direttore esecutivo della CISA per la sicurezza informatica, ha dichiarato che il processo di sfruttamento dell’exploit verrà portato avanti dai cybercriminali per settimane.
Inoltre, non si esclude che la tecnica di diffusione possa essere utilizzata in futuro anche per veicolare attacchi ransomware (il centro ricerche di Microsoft ha già rilevato tentativi di distribuzione di ransomware da parte di PHOSPHORUS, noto attore iraniano del cybercrime), o per individuare dispositivi e sistemi target vulnerabili, al fine di condurre successivi attacchi di tipo Denial-of-Service su larga scala o per esfiltrare informazioni sensibili quali credenziali o configurazioni archiviate in file e variabili d’ambiente, tra cui nome host, utente con cui viene eseguito il servizio Log4j, tipo e versione del sistema operativo.
Per ora la pressione della scoperta grava sulle aziende tecnologiche, che devono ripulire il loro codice software, e sulle grandi imprese, che devono capire se sono coinvolte e se possono applicare i fattori di attenuazione o mitigazione del rischio.
Mentre incidenti come l'hack di SolarWinds hanno mostrato le ripercussioni negative che si verificano quando gli aggressori si infiltrano in software di uso comune, la falla di Log4j dimostra concretamente quanto gli effetti di un singolo bug possano essere amplificati, se questo si trova all’interno di una stringa di codice fondamentale, incorporato in molteplici di applicativi.
Vulnerability detection e azioni di mitigazione
In primo luogo, la raccomandazione per le aziende è quella di monitorare la lista dei software interessati, in fase di continuo aggiornamento, presente nel seguente catalogo (condiviso dal CSIRT all’interno dell’ultimo bollettino informativo).
A seguire si riporta un elenco (non esaustivo) dei prodotti che utilizzano Log4j:
- Elastic Search
- Elastic LogStash
- GrayLog2
- Minecraft (client and server)
- Neo4J
- Progetti Apache (Druid, Dubbo, Flink, Flume, Hadoop, Kafka, Solr, Spark, Struts, Tapestry, Wicket)
- Prodotti VMware (Horizon, vCenter, vRealize, HCX, NSX-T, UAG, Tanzu)
- Grails
- prodotti java custom
La Apache Software Foundation, che gestisce il software Log4j, ha rilasciato, per le organizzazioni, una correzione di sicurezza da applicare. Ove non si fosse già provveduto ad applicare la patch, si consiglia di implementare le azioni di mitigazione elencate nell’apposita sezione del sito dello CSIRT Italia.
Si fa presente che gli aggressori hanno avuto diversi giorni di vantaggio nello sfruttare la falla del software, prima che questa fosse rivelata pubblicamente. Per tale ragione si raccomanda di verificare la presenza di eventuali indicatori di compromissione (IoCs), da fonti affidabili.
Il CERT-AgID, team operante all’interno di AgID (Agenzia per l'Italia Digitale) che fornisce supporto su tutti i temi riguardanti trasversalmente gli aspetti di sicurezza informatica, mette a disposizione gli indicatori delle campagne malevole gestiti e censiti quotidianamente. Gli indicatori per Log4j sono scaricabili anche in formato testuale grezzo.
Per alcune organizzazioni disporre di un flusso di Indicatori in formato grezzo, può essere utile per innalzare la protezione delle proprie macchine in maniera semplice, tramite aggiornamenti al firewall di rete.
Di recente sono stati diffusi anche degli strumenti utili alla ricerca della vulnerabilità Log4Shell. Si tratta di veri e propri scanner di sistema, sottoforma di script o di online tools / tester.
Il National Cyber Security Centre olandese ha pubblicato un elenco con le risorse attualmente disponibili per prevenire, ricercare eventuali falle e mitigare i rischi. Si tratta di una lista, in fase di aggiornamento, che include oltre 150 prodotti, tra i quali emergono anche quelli di diversi vendor orientati alla sicurezza.
La supervisione del DPO e l’applicazione dell’art. 32 GDPR
La conoscenza specialistica del DPO, elemento cardine della sua designazione, deve consentire all’organizzazione di essere ben informata, e di considerare tutti i rischi, di varia natura, inerenti alle attività di trattamento.
Negli ultimi anni abbiamo assistito ad una crescita esponenziale dei rischi cyber, e termini quali hacking, phishing, ransomware, DDoS attack, sono entrati a far parte del linguaggio comune della maggior parte delle persone. Il DPO, in tale contesto, deve essere sempre un passo avanti, mediante competenze che abbracciano anche l’informatica.
Non per niente il GDPR affida al Responsabile della Protezione dei Dati il compito di sorvegliare l'osservanza del Regolamento, e quindi di supervisionare l’applicazione di misure in grado di garantire la sicurezza, in funzione dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
L’iscrizione all’associazione e alla newsletter di ASSO DPO, costituiscono un modo per restare costantemente informati, non solo sugli sviluppi della normativa di riferimento, ma anche sulle principali minacce che gravano sulle organizzazioni.
