La minaccia collegata a Log4J è qui per restare, facendo danni ancora per molto tempo. Parola del Dipartimento di Sicurezza statunitense, nel primo rapporto del Cyber Safety Review Board (CSRB) pubblicato lo scorso 14 luglio.
Qui ha descritto la falla Log4j come una “vulnerabilità endemica”, che rimarrà probabilmente nei sistemi per oltre un decennio e costituirà una notevole fonte di rischio in futuro, nonostante l’impegno volto a risolvere la falla da parte delle varie organizzazioni.
Per questa ragione, le informazioni condivise dal CSRB includono 19 raccomandazioni attuabili dalle aziende per difendersi dalla minaccia di Log4j, considerata una delle vulnerabilità più gravi scoperte negli ultimi anni.
Indice degli argomenti
Le raccomandazioni per mitigare la vulnerabilità Log4j
La promozione di una migliore sicurezza nei prodotti software e il miglioramento della capacità delle organizzazioni del settore pubblico e privato a rispondere a gravi vulnerabilità sono tra le raccomandazioni principali diffuse dal CSRB.
Gli avvertimenti contenuti nel rapporto sono stati suddivisi in quattro categorie:
- affrontare i rischi a lungo termine di Log4j, ovvero essere in grado di vigilare sulle vulnerabilità procurate dal bug anche a distanza di anni;
- promuovere pratiche idonee per il mantenimento della sicurezza, implementando ad esempio pratiche software sicure ed in grado di gestire le vulnerabilità;
- costruire un ecosistema software migliore, varando verso un modello proattivo di gestione delle vulnerabilità;
- investimenti per il futuro, mirati allo sviluppo di software con capacità di gestione delle vulnerabilità.
Il rischio rappresentato dalla vulnerabilità di Log4j deriva da Apache Logging Project (Apache Log4j), una utility di logging basata su Java utilizzata da molte delle principali aziende tecnologiche del mondo per la loro infrastruttura web, tra cui Microsoft, Apple, Amazon, Cisco, Tesla, Twitter e Baidu.
Il rapporto del Cyber Safety Review Board (CSRB) su Log4j
Istituito all’inizio del 2022, il CSRB è costituito da un gruppo di esperti provenienti da varie agenzie governative e dal settore privato, è stato creato al fine di esaminare gli eventi significativi in materia di sicurezza informatica, seguendo il modello del National Transportation Safety Board, che indaga sui deragliamenti dei treni e sugli incidenti aerei.
Si prevede che il CSRB esaminerà regolarmente i principali episodi di cyber sicurezza a livello nazionale e pubblicherà conclusioni e raccomandazioni.
Secondo il rapporto edito a luglio del 2022, le organizzazioni stanno spendendo risorse significative per cercare di risolvere la falla Log4j con conseguenti costi elevati e ritardi nelle attività “mission-critical”.
Alcune di queste sono state in grado di rispondere efficacemente all’evento, avendo compreso l’uso di Log4j e disponendo di risorse tecniche e processi adeguati alla gestione e la valutazione del rischio; la maggior parte delle organizzazioni, invece, non sono riuscite a fornire una risposta celere, causando ritardi che andranno a inficiare nell’operatività dell’intero sistema.
Tale difetto, conosciuto come Log4Shell, consente l’esecuzione di codice remoto non autenticato, che può portare all’ottenimento del pieno controllo dei server interessati e quindi a potenziali furti di dati sensibili su larga scala. Questo genere di vulnerabilità può riguardare qualsiasi dispositivo informatico e si stima che abbia già avuto un forte impatto su oltre 3 miliardi di sistemi a livello globale.
La scoperta della vulnerabilità è avvenuta a seguito della segnalazione da parte di utenti di alcuni siti Web correlati al videogioco Minecraft. A seguito delle prime rivelazioni pubbliche di Log4j, avvenute nel dicembre dello scorso anno, i ricercatori hanno lanciato l’allarme, portando alla luce l’errore di progettazione. La problematica non si limita tuttavia al software Minecraft, ma si estende a migliaia di altri applicativi.
Nelle settimane seguenti la scoperta, è stato osservato un tasso sostenuto e costante di 2 milioni di tentativi di attacco ogni ora, e oltre la metà di questi (circa il 57%) proveniva da criminali informatici noti.
Ma perché è così spinoso il nodo Log4J
Log4J è un problema particolare, secondo il Dipartimento di Sicurezza statunitense, per vari motivi:
- E’ una libreria molto diffusa
- La vulnerabilità è facile da sfruttare
- L’exploit permette di arrivare molto a fondo nei sistemi colpiti
Va anche detto che è difficile patcharla, come spiega Alessio Pennasilico di P4i, per questo motivo avremo con noi questo problema a lungo:
“Non è facile individuare tutti gli ambienti dov’è presente Log4j. La patch inoltre pone sempre il rischio di non fare funzionare più alcuni software, e i relativi progetti, che hanno bisogno di specifiche versioni di questa libreria”.
La buona notizia, come dice il Dipartimento, è che Log4j per ora non ha creato quel disastro colossale che si paventava. Almeno all’apparenza. Nel mondo della cyber è meglio non dare per scontato nulla: un attacco devastante può sempre avvenire; e magari un exploit enorme è già in corso, silenziosamente, con danni che si vedranno solo fra qualche anno.
Speriamo almeno che i dati e i servizi più critici siano protetti in tempo.
Alessandro Longo
Log4j: i danni potenziali per le aziende
Una situazione tanto complessa può essere problematica per le aziende che devono proteggersi da potenziali danni, il difetto è infatti potenzialmente disastroso a causa dell’uso diffuso della libreria di registrazione Log4j in tutti i tipi di software aziendali e open source, dato che è semplice da usare, gratuito da scaricare ed efficace nella sua funzione. Ciò lo rende popolare tra gli sviluppatori Java, che lo hanno incorporato in migliaia di altri pacchetti software.
Dopo pochi giorni dalla pubblicazione del bug, aziende tra cui IBM, Oracle, AWS e Microsoft avevano tutte emesso avvisi ai clienti che utilizzavano Log4j, delineando i loro progressi sulle patch ed esortandoli a installare i relativi aggiornamenti di sicurezza il prima possibile.
Il vero problema è che se sfruttata, la vulnerabilità potrebbe consentire a un utente malintenzionato di assumere il controllo dei server Web basati su Java e lanciare attacchi di esecuzione di codice remoto, fornendo loro il controllo dei server dei computer.
Microsoft ha affermato di aver trovato prove del difetto utilizzato da gruppi rintracciati con sede in Cina, Corea del Nord, Turchia, Iran, nonché altri gruppi noti per la vendita di accesso ai sistemi allo scopo di attacchi ransomware.
Log4Shell: ecco come funziona l’exploit della vulnerabilità di Log4j
Una lezione per migliorare la sicurezza informatica delle aziende
Il CSRB si è confrontato con circa 80 organizzazioni ed esperti, sviluppatori di software, utenti finali, professionisti della sicurezza e aziende.
Il comitato ha dichiarato di non aver rilevato attacchi significativi basati su Log4j a sistemi di infrastrutture critiche tuttavia, come già sottolineato, le aziende stanno spendendo risorse significative per cercare di risolvere la falla. Nel rapporto si legge che sono state dedicate circa 33.000 ore per rispondere alle vulnerabilità di Log4j e ciò ha quindi comportato costi elevati e ritardato altre attività mission-critical, compresa la risposta ad altre vulnerabilità.
Nonostante i rischi, il Presidente del CSRB e Sottosegretario per le politiche del Dipartimento per la sicurezza interna degli Stati Uniti, Robert Silvers, ha dichiarato che il comitato è fiducioso e che le raccomandazioni inserite nel rapporto “guideranno il cambiamento e miglioreranno la sicurezza informatica”; inoltre ha affermato che “mai prima d’ora i leader del settore informatico e del governo si erano riuniti in questo modo per esaminare incidenti gravi, identificare ciò che era accaduto e consigliare l’intera comunità su come migliorare in futuro”.
