Log4j: ecco come i criminali informatici sfruttano la vulnerabilità

Nuova campagna di Information Operation cinese colpisce aziende di estrazione

Lo rivela una ricerca di Bitdefender che spiega come vengano diffusi Ransomware, Trojan e Botnet

Bitdefender ha pubblicato una nuova ricerca su come i criminali informatici stiano attivamente utilizzando la vulnerabilità Log4j, nella quale il vendor di sicurezza conferma una serie di attacchi volti a incorporare estrattori di cryptovalute e tentativi di attacchi per distribuire Ransomware, Trojan e Botnet.

Log4j è una libreria open source, parte degli Apache Logging Services, scritta in Java. La versione originale del Java Development Kit (JDK) non includeva API di logging, quindi le librerie di logging Java hanno rapidamente guadagnato popolarità, compresa Log4j. La libreria Log4j è ampiamente utilizzata da altri framework, come Elasticsearch, Kafka e Flink, che sono alla base di molti siti e servizi web popolari. Java è un framework multipiattaforma, e questa vulnerabilità non è limitata alle applicazioni in esecuzione su uno specifico sistema operativo. Tutte le applicazioni che utilizzano il framework in esecuzione su sistemi operativi come Windows, Linux, macOS e FreeBSD sono vulnerabili. Java alimenta web cam, sistemi di navigazione per auto, lettori DVD e set-top box, vari terminali e persino parchimetri e dispositivi medici. Di conseguenza, questa vulnerabilità ha un effetto a catena molto significativo sulla supply chain del software, ed è difficile prevedere la portata totale e l’impatto a lungo termine della vulnerabilità.

Risultati principali della ricerca:

  • I criminali informatici stanno tentando di diffondere Khonsari, una nuova famiglia di ransomware, per colpire i sistemi con sistema operativo Windows. La maggior parte dei primi attacchi finora ha preso di mira i server Linux.
  • I criminali informatici stanno anche cercando di utilizzare la vulnerabilità per distribuire il Trojan (RAT) di accesso remoto Orcus.
  • I criminali informatici stanno lanciando attacchi di “reverse bash shell”. Questa tecnica è utilizzata per guadagnare un punto d’appoggio nei sistemi per sfruttarli in un momento successivo. Distribuire una reverse shell su questi server vulnerabili è relativamente semplice da fare e molto probabilmente questa azione sarà seguita da un attacco su larga scala.
  • Le analisi di Bitdefender hanno riscontrato l’esistenza di diverse botnet che stanno già sfruttando questa vulnerabilità. Le botnet prendono di mira i server per implementare backdoor ed espandere la loro rete di botnet. Più specificamente, Bitdefender ha identificato la botnet Muhstik come uno dei primi utilizzatori.
Leggi anche:  In arrivo la nuova ISO/IEC 27002. Evoluzione o rivoluzione?

Bitdefender consiglia di agire immediatamente e di implementare tutte le patch esistenti e le misure di mitigazione consigliate, in particolare raccomanda di:

  • Condurre un’ampia verifica dell’infrastruttura e delle applicazioni software per identificare tutti i sistemi che implementano il framework di logging Apache Log4j2. In seguito di aggiornare immediatamente queste implementazioni a Log4j versione 2.15.0, che non è vulnerabile, o di implementare le mitigazioni di configurazione raccomandate da Apache.
  • Esaminare la supply chain del software e la struttura di base del software.
  • Implementare un approccio che garantisca un livello di difesa profondo. Al momento, gli attacchi consistono in più fasi, dando al team di sicurezza una buona opportunità di impedire che un incidente di sicurezza si evolva in una violazione della sicurezza.
  • Monitorare attivamente l’infrastruttura per potenziali tentativi di violazione e rispondere di conseguenza.
  • Implementare la soluzione Bitdefender EDR, che cerca qualsiasi segno di reverse TCP shell e analizza qualsiasi anomalia rilevata.