Log4Shell è la vulnerabilità più pericolosa del 2021 e minaccia 3 miliardi di dispositivi in tutto il mondo. La vulnerabilità richiede un fix urgente per le aziende, dato che in poco meno di una settimana moltissimi hacker hanno lanciato più di 840.000 attacchi a varie società a livello globale fruttando la vulnerabilità Log4Shell.
L’estrema facilità di sfruttamento della falla rende Log4Shell una minaccia particolarmente grave.
Vulnerabilità Log4Shell: cosa si rischia
Il 9 dicembre è stata rivelata una grave vulnerabilità del codice remoto in Log4J di Apache, un pacchetto/libreria utilizzato per fornire capacità di logging a strumenti ed applicazioni, molto comune perché utilizzato dagli sviluppatori di applicazioni web e server sviluppate nel popolare linguaggio di programmazione Java. La vulnerabilità colpisce un’ampia gamma di servizi e applicazioni sui server, il che la rende estremamente pericolosa, data la distribuzione molto ampia del prodotto interessato e l’impatto associato su innumerevoli altri prodotti.
Come segnalato dal CSIRT Italia, la vulnerabilità risiede nel modulo di messaggistica e consente l’esecuzione di codice arbitrario da remoto sul server che utilizza la libreria, portando alla completa compromissione dello stesso senza necessità di autenticazione.
Il livello di gravità della vulnerabilità Log4Shell
La vulnerabilità nel componente Java (censita come CVE-2021-44228) presenta un livello di gravità elevatissimo (classificato dal CVE come 10 su 10) ed espone un numero imprecisato di aziende a potenziali attacchi in cui può essere eseguito codice arbitrario che permetterebbe di prendere il pieno controllo di un sistema. La necessità di aggiornamenti per tali applicazioni server è dunque urgentissima.
Secondo i ricercatori di Check Point, attualmente la vulnerabilità viene sfruttata per installare software di mining per criptovalute, o per rendere i computer parte di grandi botnet destinate ad usi non legittimi, come attacchi DDoS e spam di email.
Una nota dell’agenzia Reuters afferma che l’ente federale tedesco per la sicurezza informatica (BSI), ha emesso un avviso di allarme rosso, il più grave, su un software ampiamente utilizzato, affermando che rappresenta una “minaccia estremamente critica” per i server web.
Implementare un aggiornamento potrebbe non essere così semplice, soprattutto se le aziende non sanno dove è stato distribuito come componente.
Il Security Operation Center di Intellisync ha rilevato migliaia di tentativi di eseguire codice in remoto utilizzando questa vulnerabilità.
Risoluzione della vulnerabilità Log4Shell
La soluzione migliore per la vulnerabilità Log4Shell è eseguire l’aggiornamento alla versione con patch (Log4j 2.15.0).
Come detto in precedenza, sono state rilevate scansioni in cerca di server vulnerabili, e vi è il rischio di un prevedibile sfruttamento massivo della vulnerabilità in rete.
Le azioni di mitigazione per Log4Shell riguardano dunque l’aggiornamento della libreria Java alla versione 2.15.0 ed è quindi importantissimo applicare la patch il prima possibile per mitigare il rischio. Il CSIRT ha già reso disponibile un PoC (Proof of Concept), disponibile sul sito istituzionale.
Tra le raccomandazioni su come rispondere alla minaccia Log4Shell, troviamo la nota – in costante aggiornamento – del Cybersecurity and Infrastructure Security Agency degli Stati Uniti, contenente le linee guida per eseguire delle azioni immediate per le aziende che usano prodotti con Log4j.
Seguendo le indicazioni riportate nella guida Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation pubblicata da Microsoft, è possibile scoprire se i propri sistemi Windows sono esposti alla vulnerabilità Log4Shell.
Verifica della vulnerabilità Log4Shell
In queste ore si sta lavorando a raggruppare quante più informazioni per mitigare i rischi associati alla vulnerabilità Log4Shell.
Il CERT-AGID sta raggruppando gli IoC (Indicatori di Compromissione) pubblici individuati dalle comunità di ricercatori di sicurezza e la lista viene mantenuta in costante aggiornamento data la quantità di novità presenti di ora in ora.
È inoltre disponibile questo link un servizio, basato sulla lista redatta dal NCSC-NL, per verificare se un software è vulnerabile a Log4Shell e potrebbe essere compromesso.
Intellisync offre la possibilità di verificare se i propri sistemi siano a rischio e mette a disposizione il servizio di Threat Intelligence per le ultime contromisure a questo exploit.