Redazione RHC : 18 Dicembre 2021 21:07
La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso oggi una direttiva in emergenza alle agenzie federali, chiedendo loro di valutare le proprie risorse di rete esposte su Internet per verificare la presenza della vulnerabilità di Apache Log4j e di correggere immediatamente i sistemi o di implementare altre misure di mitigazione appropriate.
La direttiva di emergenza è in risposta alla vulnerabilità critica che sta interessando log4j versioni dalla 2.0-beta9 alla 2.14.1 e consente l’esecuzione di codice remoto non autenticato sui server, da parte di malintenzionati.
“Le vulnerabilità di log4j rappresentano un rischio inaccettabile per la sicurezza della rete federale”
ha affermato il direttore della CISA Jen Easterly in una nota.
“La CISA ha emesso questa direttiva di emergenza per spingere le agenzie civili federali ad agire ora per proteggere le loro reti, concentrandosi prima sui dispositivi con connessione esposta ad Internet che rappresentano un rischio immediato”.
E ha aggiunto:
“La CISA esorta fortemente ogni organizzazione, grande e piccola, a seguire l’esempio del governo federale e di adottare misure simili per valutare la sicurezza nella propria rete e adottare idonee misure di mitigazione definite nella Direttiva di emergenza. Se stai utilizzando un prodotto vulnerabile nella tua rete, dovresti considerare di avere una porta spalancata a qualsiasi tipo di minaccia”
La CISA ha affermato che la direttiva di emergenza si basa sull’attuale sfruttamento delle vulnerabilità log4j da parte degli attori delle minacce, sulla probabilità che le vulnerabilità vengano sfruttate, sulla prevalenza del software interessato nell’impresa federale, sull’elevato potenziale di compromissione dei sistemi informativi delle agenzie e il potenziale impatto di una compromissione di successo.
Tuttavia, il 15 dicembre, la CISA ha affermato che non è stata confermata alcuna compromissione di alcuna agenzia federale a causa della vulnerabilità Log4j.
Tuttavia, la CISA ha ribadito di aver aggiunto la vulnerabilità al suo catalogo di vulnerabilità note durante il fine settimana, dando alle agenzie due settimane per rimediare e mitigare qualsiasi potenziale danno.
La CISA ha affermato che i difensori della rete possono trovare la guida e le risorse per la mitigazione di Log4j nella pagina Web dedicata, nonché nel repository GitHub di origine dei dispositivi e dei servizi interessati.
RedazioneUn’indagine su forum e piattaforme online specializzate ha rivelato l’esistenza di un fiorente mercato nero di account finanziari europei. Un’entità denominata “ASGARD”, sta pubblicizzando ...
C’è un fenomeno noto ma di cui si parla poco, e che ogni giorno colpisce senza distinzione: la pornografia algoritmica. È una forma di inquinamento semantico che trasforma l’identità digitale i...
Google si avvicina alla presentazione ufficiale di Gemini 3.0, il nuovo modello di intelligenza artificiale destinato a rappresentare uno dei passaggi più rilevanti nella strategia dell’azienda. Se...
La sicurezza del Louvre è di nuovo sotto accusa dopo che alcuni burloni sono riusciti a ingannare le guardie e ad appendere il loro dipinto nella stessa stanza della Monna Lisa. Il duo belga Neel e S...
Il servizio di pagamento Checkout.com è stato vittima di un tentativo di estorsione: il gruppo ShinyHunters ha affermato di aver avuto accesso a dati aziendali e ha chiesto un riscatto. Un’indagine...
