Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Log4j: il software opensource viene pagato troppo poco? La community si interroga.

Log4j 2 è un framework di registrazione open source basato su Java che rientra tra i servizi di Apache Foundation, dove chiunque può usarlo gratuitamente. Il software viene utilizzato dalle aziende per tenere traccia delle attività sui propri server (o anche sulle app lato client).

Come abbiamo riportato nei giorni scorsi, un bug monitorato come CVE-2021-44228, consente agli aggressori di eseguire codice in remoto tramite una stringa appositamente predisposta. Poiché Log4j è così comune, i criminali informatici possono facilmente manipolare le stringhe di registro e controllare il server o il client di applicazioni comuni sviluppate in Java.

Uno dei motivi principali dell’esistenza di questo bug è che alcune versioni di Log4j sono in grado di eseguire testo arbitrario tramite un protocollo di ricerca nella directory (protocollo LDAP). Se vuoi leggere una spiegazione dettagliata del problema in un linguaggio semplice, leggi questo thread di Twitter.

Chi è interessato?

La natura open source e la compatibilità diffusa di Log4j lo rendono un’ottima scelta e moltissime aziende. Infatti utilizzano questa libreria Apple, Microsoft, Steam, Twitter, Baidu e Cloudflare. Non appena sono emersi i dettagli sulla vulnerabilità, diverse persone hanno iniziato a scansionare i server per verificare se vulnerabili al suo sfruttamento.

Advertisements

Alcuni programmatori hanno testato vari siti e servizi per verificare la potenziale portata dell’attacco, e la situazione non è per nulla tranquillizzante

È importante sottolineare che, come notato da Ars Technica, molte di queste aziende hanno diverse linee di difesa contro gli attacchi informatici. Quindi, anche se alcuni server sono aperti all’attacco Log4j, altri sistemi di sicurezza possono contrastare l’attacco ed evitare che tali server siano compromessi-

Il problema è emerso attraverso i siti Minecraft , quando i ricercatori hanno scoperto che una stringa specifica passata al server o persino alla chat di gioco, avrebbe potuto fornire agli aggressori il controllo del sistema.

Il CEO della società di infrastrutture web Cloudflare, Matthew Prince, ha twittato che la società lancerà una certa protezione a tutti i clienti, compresi quelli che utilizzano il piano gratuito.

Advertisements

In particolare, ci sono diversi dispositivi che eseguono componenti server Java e Log4j potrebbe farne parte. Quindi anche il tuo tostapane potrebbe essere un bersaglio delle attività di hacking.

La piattaforma di sicurezza dei dati LunaSec ha una lunga spiegazione tecnica sull’impatto del bug sul suo blog .

Come mitigare la vulnerabilità

Ore dopo la scoperta del bug, il team di sicurezza della Apache Foundation ha rilasciato una nuova versione di Log4j con patch che proteggono i sistemi dagli attacchi.

Il proprietario di Minecraft, Mojang Studios, ha anche pubblicato una guida per le persone che eseguono il client di gioco e i server di gioco ufficiali per correggere il bug.

Advertisements

Ha avvertito che le persone che eseguono client di gioco di terze parti potrebbero dover attendere che il provider risolva l’exploit. Inoltre, il team di risposta agli incidenti informatici del governo svizzero (CERT) ha twittato una guida alla prevenzione di facile comprensione in formato immagine che si è diffusa in rete.

Aziende come Red Hat e VMWare hanno rilasciato le proprie correzioni per risolvere il problema.

Per gli amministratori del server, diversi blog sulla sicurezza contengono guide dettagliate per le strategie di mitigazione. Un utente di GitHub ha creato un elenco super utile di patch rilasciate da aziende, tra cui Netflix, Citrix, Docker e Oracle.

Il problema è che siamo ancora all’inizio.

Mentre i fornitori di servizi e la comunità open source lavorano 24 ore su 24 per risolvere il problema e proteggere il maggior numero possibile di sistemi, il pericolo di violazioni di sicurezza a seguito delle massicce scansioni effettuate dagli attori malevoli è molto elevato.

Advertisements

Come notato da Bleeping Computer nel suo rapporto la scorsa notte, gli aggressori stanno installando cryptominer, malware e implementando botnet per attacchi DDoS (Distributed Denial of Service).

Il team di intelligence sulle minacce di Microsoft ha notato che molti aggressori utilizzano lo strumento di rilevamento della penetrazione Colbat Strike per il furto di credenziali.

Sean Gallagher, un ricercatore senior sulle minacce presso Sophos, ha anche affermato che la società di sicurezza ha rilevato molti tentativi di esecuzione di codice remoto:

Dal 9 dicembre, Sophos ha rilevato centinaia di migliaia di tentativi di eseguire codice in remoto utilizzando la vulnerabilità Log4Shell. Inizialmente, si trattava di test di exploit Proof-of-Concept (PoC) da parte di ricercatori di sicurezza e potenziali aggressori, tra gli altri, oltre a molte scansioni online per la vulnerabilità. Questo è stato rapidamente seguito da tentativi di installare minatori di monete, inclusa la botnet Kinsing miner.L’intelligence più recente suggerisce che gli aggressori stanno cercando di sfruttare la vulnerabilità per esporre le chiavi utilizzate dagli account Amazon Web Service.

Il ricercatore di sicurezza Greg Linares ha twittato che gli attori delle minacce potrebbero costruire un worm per attaccare molti server attraverso il bug Log4j e causare danni o richiedere denaro.

Advertisements

La Cybersecurity and Infrastructure Security Agency (CISA) ha anche emesso un avviso affermando che il bug risulta

“ampiamente sfruttato da un numero crescente di attori delle minacce, rappresenta una sfida urgente per i difensori della rete dato il suo ampio utilizzo”.

L’agenzia ha suggerito alle organizzazioni di disabilitare i dispositivi rivolti all’esterno che eseguono Log4j e di installare una protezione firewall aggiuntiva con regole relative alla vulnerabilità.

La comunità open source si lamenta perché pagata poco

Questo bug di Log4j ha stabilito ancora una volta che le grandi aziende di tutto il mondo dipendono fortemente dal software open source gratuito e nello stesso momento la community open source è ora indignata del fatto che i contributori non ricevano abbastanza soldi per produrre software sicuro.

Filippo Valsorda, un crittografo di Google, ha notato sul suo blog personale che il manutentore che ha corretto il bug di Log4j ha contribuito part-time al progetto e aveva solo tre sponsor GitHub (un modo per le persone di pagare i volontari del progetto).

Advertisements

Ha notato che i contributori ottengono solo una piccola somma tramite GitHub o Patreon, mentre i loro progetti potrebbero essere responsabili di milioni di dollari di affari.

Inoltre, un bug su questi importanti sistemi può danneggiare Internet ed è ingiusto dipendere da persone che lavorano a questi progetti nel loro tempo libero senza ricompense assicurate.

Matthew Green, professore di crittografia alla Johns Hopkins University, ha affermato che l’industria ha bisogno di un elenco di librerie e tecnologie open source con una portata diffusa in modo che più persone possano lavorare su progetti importanti per far funzionare Internet senza problemi.

Il fondatore della società di sicurezza Chainguard, Dan Lorenc, ha affermato che mentre le aziende sono disposte a finanziare progetti open source, è difficile per loro scoprire progetti critici che necessitano di manutentori pagati. Ha anche notato che idealmente, l’industria dovrebbe finanziare team che mantengono da tre a quattro progetti.

Advertisements

I contributori hanno affermato che la loro retribuzione attraverso i contributi è super bassa, ed è davvero difficile mantenere le spese semplicemente facendo questo. Questa è una situazione triste di come stanno andando le cose.

Si spera che questo problema risvegli finalmente l’industria a prestare attenzione a riunirsi e contribuire a progetti open source che tengono a galla Internet. Ma forse potrebbero tornare a dormire se l’insetto non causa molti danni.