Log4j. A Natale cosa ci porterai sotto l’albero?

Autore: Massimiliano Brolli
Data Pubblicazione: 21/12/2021

Molti hanno parlato di cyber pandemia, non appena è stato pubblicato l’exploit RCE per Log4j, tanto che la direttrice della CISA il Jen Easterly ha detto apertamente “Le vulnerabilità di log4j rappresentano un rischio inaccettabile per la sicurezza della rete federale”, incentivando sia il pubblico e il privato a correre ai ripari.

Il problema sta nel fatto che questa vulnerabilità, oltre ad essere molto semplice da sfruttare, è presente su un numero non quantificabile (ma immenso) di sistemi, pertanto la classificazione fatta dalla CISA riporta una porzione del problema, dove però sono esclusi tutti i sistemi “make” creati nel tempo dalle pubbliche amministrazioni o dalle aziende private.

Quindi correre ai ripari cosa vuol dire?

Si tratta di un lavoro ciclopico che non può essere affrontato in così poco tempo, in quanto molte aziende non sanno e non hanno un inventory delle librerie utilizzate all’interno delle loro applicazioni, che magari risultano esposte su internet.

Siamo di fronte ad una falla di sicurezza molto simile ad Eternalblue per la portata. Eternalblue era un exploit trafugato dai server della NSA (National Security Agency degli Stati Uniti D’America) dal gruppo The Shadow Broker, che portò circa un mese dopo ad armare il malware WannaCry.

Ricordiamoci anche che la NSA trattenne nei suoi silos di cyberweapons tale zeroday per ben 5 anni e, se non fosse avvenuto tale furto, chissà se ne avremmo conosciuto l’esistenza.

Log4j potrebbe rientrare in un caso simile, perché le leggi cinesi obbligano i ricercatori di bug a fornire al governo in primis gli zero day, il quale poi deciderà quale sarà la loro sorte, ovvero l’oscuramento o la pubblicazione sul CNVD. Teniamo in considerazione che un bug come quello di Log4j, scoperto dal ricercatore cinese p0rz9, farebbe gola a qualsiasi intelligence di qualsiasi paese.

Ma a differenza di Eternalblue (che in parte ebbe il beneficio del patching automatico di Windows per i server licenziati), nel caso di Log4j la situazione è molto più complessa, in questo sappiamo poco di dove sia il reale problema perché polverizzato in infinite applicazioni delle quale non conosciamo la loro “ossatura”, ovvero quali siano le librerie utilizzate al loro interno.

Pertanto occorre effettuare delle analisi di sicurezza soprattutto sulla superficie esposta su internet attraverso scansioni locali sui server, alla ricerca della fantomatica libreria sul file-system, o attraverso scansioni da rete, capaci di identificare la libreria per poi patchare, collaudare e tutto questo prima che la falla possa essere sfruttata da un eventuale malintenzionato.

Questo sarà un lavoro che richiederà molto tempo, rispetto ad un ipotetico attacco di un qualsiasi malintenzionato.

Quindi, per chi dispone di una sicurezza perimetrale adeguata su internet, come sistemi IPS/WAF/NGF, la prima cosa da fare è implementare le regole che consentano di bloccare i payload in transito, in modo da guadagnare il tempo necessario per poter aggiornare i sistemi, in quanto di tempo ce ne vorrà molto. Per chi non ha i sistemi perimetrali implementati soprattutto su internet, forse è arrivato il momento di preoccuparsi di questo e implementarli davvero.

Si perché il cybercrime (i broker di accesso nella fattispecie come sempre e soprattutto in questo caso) stanno scansionando all’impazzata il cyberspace, alla ricerca di questa falla di sicurezza per rivendere l’accesso alle reti delle aziende nelle underground oltre a flotte di malware che al momento sono in collaudo, pronti ad essere lanciati al bisogno (ricordiamo che Conti sta già utilizzando Log4j come accesso alle infrastrutture per poi lanciare il ransomware, ma anche altri come Khonsari).

Sebbene tutto questo sia uno scenario preoccupante per il nostro prossimo Natale, a questo si aggiunge il fatto che in questo periodo dell’anno il cybercrime lavora più intensamente, proprio perché le aziende hanno il proprio personale IT e SOC sottodimensionato per le festività.

Ma anche per BlueKeep (altra falla catastrofica di Windows su RDP), si pensò ad una cyber pandemia, cosa che poi non avvenne fortunatamente.

Ogni cyber-storia deve fare il suo corso, pertanto oggi è difficile fare previsioni, ma sicuramente, allo stato dell’arte, c’è molto poco di rassicurante.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione