La questione del patching si rivela sempre, e anche in questo caso, il problema maggiore: forse più grave della vulnerabilità stessa. Al punto che Microsoft ha dovuto pubblicare un nuovo alert, pochi giorni fa, riguardo la vulnerabilità Log4Shell della libreria Java Log4J: questa è stata risolta e patchata con tre successive versioni aggiornate rese disponibili da Apache nell'arco di pochi giorni dall'individuazione della vulnerabilità 0day, ma i sistemi patchati sono ancora una netta minoranza.
"I tentativi di sfruttamento e i test di ricerca della vulnerabilità sono rimasti estremamente elevati nelle ultime settimane di Dicembre" ha dichiarato il Microsoft Threat Intelligence center. "Abbiamo osservati molti attaccanti aggiungere questo exploit ai loro kit di attacco: si va dai miner di criptovaluta fino ad arrivare, addirittura, ad attacchi condotti manualmente (Microsoft parla di attacchi hands-on-keyboard n.d.r)".
Log4Shell in breve
Individuata da Apache Software Fiundation il 10 Dicembre 2021, questa vulnerabilità riside in Apache Log4J e, se sfruttata correttamente, consente l'esecuzione di codice arbitrario non autenticato da parte di un utente remoto. La facilità di sfruttamento l'ha resa velocemente popolare, al punto che in pochissimi giorni Log4Shell è divenuto un vettore di attacco estremamente diffuso e molto apprezzato da una vasta gamma di attori di minacce.
Nelle settimane successive sono state individuate altre 4 vulnerabilità che hanno ampliato le possibilità degli attaccanti: sono le CVE-2021-45046, CVE-2021-45105, CVE-2021-4104 e CVE-2021-44832. Queste consentono ad un attaccante remoto il controllo completo di una macchina compromessa e la possibilità di lanciare una gamma crescente di attacchi, dai miner fino ai ransomware passando per i più comuni trojan: è il caso di Dridex in Italia. Non solo: Log4Shell è già in uso per distribuire ulteriori tool di accesso remoto come Meterpreter, Bladabindi e altri RAT.
Per approfondire > Dridex, il malware bancario più diffuso in Italia, è l'ennesima minaccia che sfrutta la vulnerabilità di Log4j
L'alert di Microsoft: Log4Shell è ancora un grave problema
Ora, purtroppo, Microsoft registra che i tentativi di scansione di massa verso macchine vulnerabili a Log4Shell e le altre vulnerabilità di Log4J non accennano a ridursi. Non solo: Microsoft sottolinea come la vulnerabilità sia stata velocemente assorbita da molte delle principali botnet, Mirai per prima e di come sia sfruttata anche in numerose campagne di attacco ad alto profilo sponsorizzate da governi e intelligence.
"Siamo al punto" ha sentenziato Microsoft "che i clienti dovrebbero ritenere questa ampia disponibilità di codici di exploit e questa alta capacità di scansione come un pericolo reale per i propri ambienti. A causa dei numerosi software e servizi interessati e dal ritmo degli aggiornamenti resi necessari, questo problema rischia di avere lunghi strascichi e richiede una vigilanza continua".
Centinaia di software e servizi sono riguardati dalle vulnerabilità di Log4J
I tecnici Microsoft hanno ragione da vendere quando elencano il ritmo degli aggiornamenti necessari come un problema che rende difficile una efficace gestione delle patch. Aziende del calibro di Intel. NVIDIA e Microsoft stessa hanno dovuto pubblicare alert e patch per una serie di prodotti riguardati dalla vulnerabilità.
Intel ad esempio ha elencato fino a 9 applicazioni basate su Java che contengono la vulnerabilità: Intel Audio Development Kit, Intel Datacenter Manager, plug-in del browser Intel oneAPI per Eclipse, Intel System Debugger, Intel Secure Device Onboard, Intel Genomics Kernel Library, Intel System Studio, e altri...
NVIDIA non ha riscontrato la vulnerabilità nelle ultime versioni ma, nell'evidenza dell'ampio numero di server ancora vulnerabili, ha elencato ben 4 prodotti per i quali l'uso di versioni obsolete espone a rischi: parliamo di CUDA Toolkit Visual Profile, DGX Systems, NetQ e vGPU Software License Server
Microsoft ha già reso disponibili, invece, aggiornamenti per Azure Spring Cloud e Azure DevOps.
Conclusioni: update, update update!
Apache Foundation ha risolto la vulnerabilità, quindi invitiamo a scaricare ed eseguire la versione più recente, la Log4j 2.17.1, scaricabile qui.
Qui segnaliamo gli IoC messi a disposizione dal CERT > CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell
Qui la guida di Microsoft per Log4Shell > Guidance for preventing, detecting, and hunting for exploitation of the Log4j 2 vulnerability
Nessun commento:
Posta un commento