Lo scorso dicembre 2021 è stata scoperta Log4j, vulnerabilità di esecuzione di codice remoto (RCE), nel pacchetto di log Apache Log4j nelle versioni 2.14.1 e successive (CVE-2021-44228), tra le più gravi della storia della cybersecurity. Apache Log4j è la libreria di log java più popolare, utilizzata da aziende di tutto il mondo, incorporata in quasi tutti i servizi e le applicazioni Internet che conosciamo, tra cui Twitter, Amazon, Microsoft, Minecraft.
Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software, aveva segnalato una diffusione d’attacco riconducibile a quella di una cyber-pandemia, rilevando quasi 200.000 tentativi di exploit nelle sole 24 ore successive alla prima comunicazione. Nel giro di una settimana, gli hacker avevano sferrato oltre 1,2 milioni di attacchi.
Con l’avvento del 2022, è diventato chiaro che i criminali informatici avrebbero continuato a sfruttare la vulnerabilità. A febbraio, alcuni criminali informatici finanziati dallo Stato iraniano hanno utilizzato Log4j per introdursi in una rete governativa statunitense, estrarre illegalmente criptovaluta, rubare credenziali e modificare le password. Lo scorso ottobre, invece, un gruppo legato al governo cinese ha sfruttato la falla per sferrare attacchi a vari target, tra cui un Paese del Medio Oriente e un produttore di elettronica.
Come sottolineato da David Gubiani, Regional Director SE EMEA Southern di Check Point Software: «Log4j ha cambiato le carte in tavola della cybersecurity per la sua facilità di compromissione, grazie a una sola riga di codice che ha infettato milioni di servizi e dispositivi in tutto il mondo. Si stima che 1 server aziendale su 10 sia stato esposto. Penso sia stato un campanello d’allarme per un settore che era relativamente indifferente alla gestione delle librerie open-source e al loro utilizzo, e che forse si fidava troppo dei provider e delle capacità di gestione delle vulnerabilità della supply chain».
La vulnerabilità Log4j continua, ancora oggi, a colpire anche le aziende. Si piazza costantemente al primo o al secondo posto nei threat report di CPR, con un impatto sul 41% delle organizzazioni a livello globale, a partire dall’ottobre 2022. Questo perché il numero di combinazioni per sfruttare la vulnerabilità dà molte alternative all’hacker per aggirare le protezioni appena implementate.
Come precisato da Gubiani: «Ciò significa che uno ‘strato’ di protezione non è sufficiente, e solo una struttura di sicurezza multi-livello sarebbe adatta. Però, non tutti i provider ne sono muniti. Inoltre, non tutti hanno fornito patch rapidamente, rimanendo indietro di settimane, e lasciando scoperta la vulnerabilità».
Qual è il prossimo passo?
La vulnerabilità di Log4j è stata esemplificativa per tutte le organizzazioni. Questo periodo sarà ricordato come un episodio che molti professionisti della sicurezza vorranno dimenticare. Con l’uso diffuso di Log4j e una rete sempre crescente di server interni e di terze parti da dover patchare, la vulnerabilità difficilmente sparirà in breve tempo.
Log4j ha ricordato che la sicurezza deve essere imprescindibile per tutte le applicazioni e i servizi. La tempistica d’azione è fondamentale in queste situazioni, e ha costretto molte aziende a rivedere le proprie policy per applicare le security patch. Un qualsiasi ritardo, potrebbe costare molto caro alle organizzazioni.
Come concluso da Gubiani: «Dobbiamo prenderne coscienza e imparare da queste vulnerabilità zero-day. In questo modo potremo evitare la ‘prossima Log4j’. Non fidatevi del software open-source senza prima fare dei controlli accurati. È buona norma analizzarlo con dei controlli di sicurezza dedicati che possano prevenire eventi come questo. Inoltre, se dovete, costruite il codice del software in modo sicuro fin dall’inizio per evitare sorprese in futuro e assicuratevi che qualsiasi modifica venga analizzata dai vostri controlli di sicurezza».
Infine, i team di sicurezza devono fare in modo di mantenere una visibilità a 360 gradi, indipendentemente da quanto la realtà aziendale possa essere distribuita. Devono adottare un approccio più olistico, accedendo alla threat intelligence in tempo reale con una soluzione dedicata e unificata, in modo da poter prevenire vulnerabilità zero-day a vasto raggio e attacchi mirati che sfruttano falle come quella di Log4j.