La scoperta della vulnerabilità nella libreria Log4j ha alimentato ulteriormente la portata della “pandemia informatica” che ormai imperversa da anni, in cui le principali falle di sicurezza nei software e nei servizi più diffusi hanno un impatto sempre più grande su un numero crescente di realtà sia pubbliche che private.
Secondo gli analisti di sicurezza, inoltre, vi è un’alta probabilità che l’entità degli attacchi ransomware aumenterà nei prossimi giorni, in quanto la vulnerabilità appare estremamente critica, e il potenziale sviluppo di alcune varianti evolute che potrebbero aggirare le patch attuali è allo stesso modo altamente probabile.
La scoperta di Log4j
Nei giorni passati, il ministero della Difesa Belga ha rivelato che una parte della sua rete è stata isolata a seguito di un attacco informatico di cui il personale della Difesa è venuto a conoscenza lo scorso giovedì 17 dicembre.
Un portavoce del ministero ha dichiarato al quotidiano belga “De Standaard” che l’attacco ha sfruttato delle vulnerabilità nella libreria Log4j.
Il portavoce ha dichiarato che per tutto il fine settimana sono state avviate le attività necessarie “per controllare il problema, continuare le attività e avvisare i partner”, senza tuttavia fornire ulteriori informazioni. Apache Log4j è la libreria di log Java, un framework di logging open source scritto in Java e distribuito da Apache Software Foundation, che gli sviluppatori utilizzano per tenere traccia dell’attività del software nelle app cloud e aziendali. È utilizzato da un vasto numero di aziende in tutto il mondo, consentendo l’accesso a un’ampia gamma di applicazioni molto popolari ed è integrato nei prodotti Microsoft e in quasi tutti i servizi o applicazioni con cui abbiamo familiarità, inclusi Twitter e Amazon.
In seguito ai recenti attacchi, la Apache Software Foundation ha rilasciato una patch di sicurezza che le organizzazioni possono applicare. Tuttavia, a differenza delle grandi aziende tecnologiche che possono disporre di team di esperti di sicurezza informatica per affrontare questo genere di minacce, molte altre aziende o attività di media o piccola entità non dispongono di queste risorse.
I principali CVE (Common Vulnerabilities and Exposures) associati alla vulnerabilità del Log4j sono il CVE-2021-44228, l’identità di tracciamento per l’exploit Log4j originale, il CVE-2021-45046, ovvero l’identità di tracciamento per la vulnerabilità associata alla prima patch di Log4j (versione 2.15.0) e il CVE-2021-45105, l’identità di tracciamento per la vulnerabilità associata alla seconda patch Log4j (versione 2.16.0).
Secondo quanto rilevato dai ricercatori di Microsoft, negli ultimi giorni sono state individuate attività di accesso, presumibilmente da parte di access broker (hacker che traggono vantaggi economici dalla vendita di accessi ai sistemi informatici), che hanno sfruttato la vulnerabilità per ottenere l’accesso alle reti target, per poi ottenere successivamente guadagni dalla vendita di tali accessi.
Tentativi di accesso state-sponsored
Inoltre, come è stato riportato recentemente dalla CNN, il team di Microsoft ha altresì rilevato tentativi di accesso da parte di attori state-sponsored. La vulnerabilità CVE-2021-44228 sarebbe infatti stata sfruttata da diversi gruppi legati a realtà governative provenienti da Cina, Iran, Corea del Nord e Turchia. In particolare, è stato osservato che un gruppo iraniano conosciuto con il nome di “Phosphorus”, noto per l’attività di distribuzione di ransomware, avrebbe acquistato e modificato l’exploit di Log4j; mentre un gruppo di matrice cinese, Hafnium, avrebbe sfruttato la vulnerabilità per attaccare le infrastrutture di virtualizzazione ed estendere il proprio target.
Secondo quanto riportato dal team di ricerca sulle minacce informatiche di Uptycs, società che fornisce soluzioni di sicurezza cloud-native, sono stati identificati nei giorni passati diversi tipi di payload rilasciati sui server colpiti dalla vulnerabilità, inclusi malware noti come i coinminer Kinsing e Xmrig e i malware botnet Dofloo, Tsunami e Mirai, usati per distribuire attacchi DDoS (Distributed Denial of Service) utilizzando la vulnerabilità di Log4j.
Il team di ricercatori di Cryptolaemus ha invece riferito di aver verificato che Dridex, un ceppo di malware che prende di mira le istituzioni finanziarie, è stato diffuso su dispositivi Windows attraverso un exploit della vulnerabilità in Log4j.
I motivi della criticità degli attacchi a log4j
Ci sono due principali motivi per cui questi attacchi, e le relative vulnerabilità del software Log4j, presentano un livello di criticità così elevato da aver ricevuto un rating di CVSS-10, secondo lo standard che definisce il livello della gravità di una vulnerabilità informatica in un range da 0 a 10.
Innanzitutto, sfruttare la vulnerabilità appare estremamente semplice, soprattutto per la facilità con cui qualsiasi malintenzionato può accedere a un computer da remoto e assumere il controllo di un dispositivo connesso a Internet, se il dispositivo esegue determinate versioni di Log4j 2, garantendo anche l’accesso ad altre parti della rete privata; essendo poi Log4j sia open-source che gratuita, la vulnerabilità della libreria tocca essenzialmente ogni parte di Internet e, come evidenziato da Chris Eng, chief research officer presso la società di sicurezza informatica Veracode, “è onnipresente. Anche se sei uno sviluppatore che non utilizza direttamente Log4j, potresti comunque eseguire il codice vulnerabile perché una delle librerie open source che utilizzi dipende da Log4j”.
Poiché Log4j è una libreria Java di registrazione dei messaggi nelle applicazioni ampiamente utilizzata, come precedentemente accennato, questa vulnerabilità potrebbe avere un impatto su tutte le applicazioni e i software che utilizzano Java, rendendo molto difficile una quantificazione dei sistemi potenzialmente interessati dalla minaccia. Di fatto, va considerato che un’applicazione che utilizza Java non ha nemmeno bisogno di essere esposta direttamente a Internet per essere violata attraverso la suddetta vulnerabilità. Aziende come Apple, IBM, Oracle, Cisco, Google e Amazon utilizzano tutte Java. La vulnerabilità potrebbe dunque essere presente in app e siti Web popolari e centinaia di milioni di dispositivi in tutto il mondo che accedono a questi servizi potrebbero essere esposti alla vulnerabilità.
Jen Easterly, direttore della US Cybersecurity and Infrastructure Security Agency, ha dichiarato in un’intervista rilasciata alla CNBC che “la vulnerabilità log4j è la vulnerabilità più grave che abbia mai visto nella mia decennale carriera”. Dopo 12 ore dal primo attacco avvenuto il 10 dicembre, si sono verificati 40.000 attacchi cyber, in tutto il mondo, che hanno tentato di sfruttare le vulnerabilità della libreria Apache Log4j. Nelle 72 ore seguenti, gli attacchi sono arrivati ad ammontare a più di 830.000, evidenziando come questa vulnerabilità rappresenti una delle più gravi falle di sicurezza degli ultimi anni e ad ora il potenziale dei danni causati è incalcolabile.
Di fatto, lo spettro degli attacchi ha coinvolto oltre 90 paesi. Anche l’impatto stesso risulta estremamente ampio e alcuni paesi hanno visto la compromissione di oltre il 60% delle reti aziendali ed oltre il 50% dei network di distribuzione. Tra i settori più colpiti si evidenziano quello finanziario, quello militare e governativo e quello dedicato alla fornitura di servizi IT e ISP.
