Kaspersky, sul toboga di Log4shell

truffa eSIM come proteggersi

I consigli del GReAT team e tutte le risorse disponibili per far fronte alla minaccia

Forse non sarà la peggior minaccia degli ultimi dieci anni, ma già oggi i numeri di Log4shell dimostrano tutta la gravità di questa vulnerabilità critica zero-day che affligge Apache Log4j, un tool di autenticazione open source molto diffuso. Emersa ufficialmente lo scorso 9 dicembre, la vulnerabilità pare fosse nota da tempo soprattutto presso gli utilizzatori di Minecraft, videogioco online diffusissimo in tutto il mondo.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Le vulnerabilità individuate

Tre le vulnerabilità individuate. CVE-2021-44228, la principale riguarda la versione 2.15.0 di Log4j ed è una vulnerabilità di classe Remote Code Execution che permette agli attaccanti di eseguire codice arbitrario e, potenzialmente, acquisire il pieno controllo di un sistema infetto. Data la sua pericolosità la falla viene immediatamente classificata 10/10 sulla scala di gravità CVSSv3 dalla Apache Software Foundation, l’organizzazione che sovrintende allo sviluppo del software. Sebbene ASF abbia già rilasciato le patch per tutte le CVE individuate – CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 – relative rispettivamente alle versioni 2.15.0, 2.16.0 e 2.17.0 di Log4j, i vendor potrebbero impiegare settimane o mesi per aggiornare il loro software. Gli esperti del GReAT – Global Research and Analysis Team di Kaspersky, gruppo selezionato di esperti di sicurezza che offre servizi avanzati di ricerca e analisi delle minacce, già noto per avere scoperto e passato al setaccio alcune degli attacchi più gravi degli ultimi anni – hanno rilevato tra il 10 e il 12 dicembre scorsi oltre 8000 tentativi di sfruttare la vulnerabilità. Chiunque recuperi l’exploit infatti può ottenere l’accesso completo a un computer non aggiornato.  Questo significa accesso alle reti, possibilità di sottrarre dati, installare malware e molto altro. La libreria utilizzata da milioni di applicazioni Java distribuite sui server di Google, Amazon, Netflix, Android, Apple, IBM, Tesla, Twitter ecc. mette tutti a rischio.

Leggi anche:  Kaspersky scopre il nuovo trojan proxy per macOS distribuito grazie a un software illegale

Diffusione continua

In questo momento in migliaia di aziende e organizzazioni il personale IT è al lavoro per provare a mettere una toppa alla falla che si è aperta. Purtroppo sul fronte opposto altri stanno facendo di tutto per sfruttare questa vulnerabilità.  Secondo quanto riportano alcuni esperti già nelle prime 6 ore successive alla scoperta della vulnerabilità, la stessa è stata “completamente armata”, i criminali hanno cioè sviluppato e distribuito strumenti per sfruttarla. Al momento sono noti almeno una sessantina di ceppi mutanti ma la loro diffusione potrebbe continuare a crescere.  Il coro unanime degli esperti è di correre ai ripari immediatamente. Ma data la diffusione di Apache Log4j, una libreria utilizzata da milioni di applicazioni Java “potrebbero volerci “mesi se non anni” prima che il bug venga efficacemente contrastato. Previsione questa sostanzialmente confermata anche dagli esperti del GReAT.

Azioni consigliate e mitigazione

Il team suggerisce anzitutto di verificare se e in che misura si è affetti dalla vulnerabilità. Numerose le modalità disponibili. Per esempio il nostro CSIRT suggerisce di procedere all’esecuzione dei seguenti comandi per effettuare la ricerca di tentativi di compromissione direttamente sui log.

Vedi in https://csirt.gov.it/Log4Shell

Aggiornare, aggiornare, aggiornare

In rete sono disponibili numerose risorse – Shodan è una delle più utilizzate – per verificare mediante scansione da remoto quali software sono vulnerabili a Log4Shell. Il passo successivo è quello di aggiornare i sistemi compromessi. Gli esperti Kaspersky consigliano di aggiornare immediatamente log4j2 all’ ultima versione disponibile (2.17.0). Per chi utilizza le release sino alla 2.10  è invece necessario settare le proprietà di sistema di “log4j2.formatMsgNoLookups” su “true”, mentre per le versioni ancora più datate (2.0_beta9 – 2.10.0) è necessario rimuovere JndiLookup dal path della classe, e  implementare i meccanismi di validazione dell’input a tutto il codice che interagisce con log4j. Qualora si utilizza la libreria in un prodotto di terze parti è necessario installare le patch aggiornate fornite dai rispettivi fornitori di software. Come nota Marco Preuss, Head of Europe’s Global Research and Analysis (GReAT), non è sempre possibile aggiornare i sistemi. Soprattutto quando si tratta di agire immediatamente all’interno delle proprie applicazioni. In questi casi oppure quando il software affetto da vulnerabilità non è pronto per riceverli, il consiglio è di seguire le indicazione fornite dai propri CERT di riferimento.

Leggi anche:  Cybersecurity, la sinergia tra vendor e distributore

IoC

Data la gravità della vulnerabilità e la semplicità con la quale può essere sfruttata, il team GReAT mette a disposizione di tutti gli IoC (Indicatori di Compromissione) individuati per contrastare l’ondata di scansioni che tentano di sfruttare questa vulnerabilità. In questa lista evidentemente non esaustiva sono presenti gli indirizzi IP da cui provengono gli attacchi e sono scaricati i payload malevoli. Gli esperti del GReAT consigliano di utilizzarli sia come lista di blocco sia per rilevare eventuali tentativi di attacco e/o compromissioni.

Tutti gli aggiornamenti Kaspersky sulla vulnerabilità Log4Shell sono disponibili qui. Il seminario tecnico condotto dagli esperti di Kaspersky da cui sono tratte le indicazioni presenti è accessibile a tutti previa registrazione qui. Su questa pagina sono altresì disponibili tutte le risposte degli esperti del team Great alle domande poste dagli astanti durante il webinar.