Nel 2021 Check Point Research aveva segnalato l’attacco della vulnerabilità Log4j rilevando quasi 200.000 tentativi di exploit nelle 24 ore successive alla prima comunicazione. Nel giro di una settimana, gli hacker avevano sferrato oltre 1,2 milioni di attacchi. La divisione Threat Intelligence di Check Point Software aveva segnalato infatti una diffusione d’attacco riconducibile a quella di una cyber-pandemia.
Vulnerabilità Log4j
Nel dicembre 2021 è stata scoperta Log4j, vulnerabilità di esecuzione di codice remoto (RCE), nel pacchetto di log Apache Log4j nelle versioni 2.14.1 e successive (CVE-2021-44228). Ovvero una tra le più gravi della storia della cybersecurity. Apache Log4j è la libreria di log java più popolare, utilizzata da aziende di tutto il mondo. È incorporata in quasi tutti i servizi e le applicazioni Internet che conosciamo, come Twitter, Amazon, Microsoft, Minecraft.
Attacchi da parte di Iran e Cina
Con l’avvento del 2022, è diventato chiaro che i criminali informatici avrebbero continuato a sfruttare la vulnerabilità. A febbraio, alcuni criminali informatici finanziati dallo Stato iraniano hanno utilizzato Log4j per introdursi in una rete governativa Usa, estrarre illegalmente criptovaluta, rubare credenziali e modificare le password. Lo scorso ottobre, invece, un gruppo legato al governo cinese ha sfruttato la falla per sferrare attacchi a vari target, tra cui un Paese del Medio Oriente e un produttore di elettronica.
Un campanello di allarme
David Gubiani, Regional Director SE Emea Southern di Check Point Software
Log4j ha cambiato le carte in tavola della cybersecurity per la sua facilità di compromissione, grazie a una sola riga di codice che ha infettato milioni di servizi e dispositivi in tutto il mondo. Si stima che un server aziendale su 10 sia stato esposto. Penso sia stato un campanello d’allarme per un settore che era relativamente indifferente alla gestione delle librerie open-source e al loro utilizzo. Un settore che forse si fidava troppo dei provider e delle capacità di gestione delle vulnerabilità della supply chain.
Un’arma in mano agli hacker
La vulnerabilità Log4j continua, ancora oggi, a colpire anche le aziende. Si piazza costantemente al primo o al secondo posto nei threat report di CPR con un impatto sul 41% delle organizzazioni a livello globale, a partire da ottobre 2022. Questo perché il numero di combinazioni per sfruttare la vulnerabilità dà molte alternative all’hacker per aggirare le protezioni appena implementate.
Vulnerabilità Log4j: cosa abbiamo imparato dopo un anno
David Gubiani
Ciò significa che uno ‘strato’ di protezione non è sufficiente. E solo una struttura di sicurezza multi-livello sarebbe adatta. Però non tutti i provider ne sono muniti. Inoltre, non tutti hanno fornito patch rapidamente, rimanendo indietro di settimane, e lasciando scoperta la vulnerabilità.
La tempistica è fondamentale
La vulnerabilità di Log4j è stata esemplificativa per tutte le organizzazioni. Questo periodo sarà ricordato come un episodio che molti professionisti della sicurezza vorranno dimenticare. Con l’uso diffuso di Log4j e una rete sempre crescente di server interni e di terze parti da dover patchare, la vulnerabilità difficilmente sparirà in breve tempo. Log4j ha ricordato che la sicurezza deve essere imprescindibile per tutte le applicazioni e i servizi. La tempistica d’azione è fondamentale in queste situazioni, e ha costretto molte aziende a rivedere le proprie policy per applicare le security patch. Un qualsiasi ritardo potrebbe costare caro alle organizzazioni.
Come evitare la ‘prossima vulnerabilità Log4j’
David Gubiani
Dobbiamo prenderne coscienza e imparare da queste vulnerabilità zero-day. In questo modo potremo evitare la ‘prossima Log4j’. Non fidatevi del software open-source senza prima fare dei controlli accurati. È buona norma analizzarlo con controlli di sicurezza dedicati che possano prevenire eventi come questo. Inoltre, se dovete, costruite il codice del software in modo sicuro fin dall’inizio per evitare sorprese in futuro. Inoltre assicuratevi che qualsiasi modifica venga analizzata dai vostri controlli di sicurezza.
Il lavoro dei security team
Infine, i team di sicurezza devono fare in modo di mantenere una visibilità a 360 gradi, indipendentemente da quanto la realtà aziendale possa essere distribuita. Devono adottare un approccio più olistico, accedendo alla threat intelligence in tempo reale con una soluzione dedicata e unificata. Così da poter prevenire vulnerabilità zero-day a vasto raggio e attacchi mirati che sfruttano falle come quella di Log4j.