▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Log4j: iniziato lo sfruttamento della seconda vulnerabilità, scoperta la terza falla

La situazione legata alle vulnerabilità Log4j sta precipitando: le prime due falle scoperte sono ampiamente sfruttate, anche da APT di grande importanza come Hafnium. In più è emersa una terza falla.

Vulnerabilità

Sembra non conoscere tregua l'emergenza informatica creatasi con la scoperta della vulnerabilità Apache Log4j, che ormai può a ragion veduta definirsi la più grave falla informatica degli ultimi 10 anni. Dal 26 novembre, data in cui è stato creato il numero CVE per la prima e più grave falla (che ha un punteggio CSSV di 10 su 10) sono state scoperte ormai tre vulnerabilità e gli attaccanti stanno banchettando con gli exploit per le prime due. A questo ritmo, quello per la terza non si farà attendere.

Questa non è una sorpresa, perché come specificato ieri non è raro che falle di secondo piano, magari silenti da tempo, vengano alla luce man mano che gli esperti indagano sul problema principale. Il guaio è che le falle secondarie stanno ampliando la superficie d'attacco a disposizione dei cyber criminali, che ormai si stanno affollando per fare breccia nei sistemi non protetti.

Check Point ha registrato fino ad oggi oltre 1,8 milioni di tentativi di sfruttare la vulnerabilità Log4j.


La timeline

Ricapitoliamo la timeline per chiarezza. Il 26 novembre è stato assegnato il CVE alla falla CVE-2021-44228, la prima e più grave, per la quale l'exploit è stato reso pubblico il 1 dicembre. La patch per questa vulnerabilità è datata 10 dicembre. Tre giorni dopo, il 13 dicembre, è stata distribuita la versione di Log4j 2.16.0 per chiudere una seconda falla identificata dalla sigla CVE-2021-45046, che rimuove il supporto per le ricerche dei messaggi e disabilita JNDI per impostazione predefinita. Il motivo è che la prima patch si era rivelata "incompleta in alcune configurazioni non predefinite".

Ieri, 14 dicembre, Cloudflare ha rilevato i primi attacchi che tentano attivamente di sfruttare la seconda falla. Arriviamo al 15 dicembre: i ricercatori della società di sicurezza Praetorian hanno scoperto l'esistenza di una terza vulnerabilità nella versione 2.15.0 di Log4j, che può "consentire l'esfiltrazione di dati sensibili in determinate circostanze". Non è chiaro al momento se i provvedimenti presi con la versione 2.16.0 possano mitigare anche questo nuovo problema perché i dettagli al momento sono secretati per evitare di fornire suggerimenti agli attaccanti.

APT all'opera

Mandiant nel frattempo ha confermato che diversi gruppi APT stanno sfruttando le vulnerabilità della libreria Apache per perpetrare attacchi. John Hultquist, VP of Intelligence Analysis, Mandiant, ha affermato che gli esperti di Mandiant hanno "visto attori statali cinesi e iraniani sfruttare questa vulnerabilità, e prevediamo che anche altri attori statali lo stiano facendo, o si stiano preparando a farlo. Crediamo che questi attori lavoreranno rapidamente per creare appigli in reti desiderabili per seguire attività che potrebbero durare per qualche tempo. In alcuni casi lavoreranno da una lista dei desideri di obiettivi che esisteva molto prima che questa vulnerabilità fosse di dominio pubblico. In altri casi gli obiettivi auspicabili possono essere selezionati dopo un ampio targeting. Gli attori iraniani che abbiamo associato a questa vulnerabilità sono particolarmente aggressivi, avendo preso parte a operazioni ransomware che possono essere eseguite principalmente per scopi dirompenti piuttosto che per guadagni finanziari. Sono anche legati allo spionaggio informatico più tradizionale. "

Fra i nomi coinvolti per certo figura il gruppo Hafnium, a suo tempo già accusato di avere orchestrato gli attacchi che hanno sfruttato le falle di Exchange Server. Si ritiene che Hafnium sia colluso con il Governo cinese.


In campo anche gli Initial Access Broker

Il Microsoft Threat Intelligence Center (MSTIC) reputa inoltre che gli Initial Access Broker stiano sfruttando la falla di Log4Shell per ottenere l'accesso iniziale alle reti target e che lo stiano rivendendo ad affiliati ransomware. Gli esperti di Microsoft allertano inoltre sullo scanning di massa della rete in atto sia da parte degli attaccanti che da parte dei ricercatori di sicurezza.

Una considerazione importante su quanto sta accadendo arriva dalla società di cyber security Dragos: non c'è nulla di anomalo nel fatto che gli attaccanti stiano cercando in tutti i modi di sfruttare delle vulnerabilità appena divulgate. Tuttavia la vicenda di Log4j mette in evidenza – se ancora ce ne fosse bisogno - i rischi derivanti dalle supply chain del software e dal fatto che un pezzo di codice venga utilizzato all'interno di una vasta gamma di prodotti usati da diversi fornitori e distribuiti a clienti in tutto il mondo.

"Questa vulnerabilità trasversale, che è indipendente dal fornitore e che colpisce sia il software proprietario sia quello open source, lascerà un'ampia fascia di settori esposti allo sfruttamento remoto, tra cui energy, water, food and beverage, manufacturing, trasporti, e altro ancora. Man mano che verranno chiuse le porte agli exploit più semplici, gli attaccanti creeranno variazioni più sofisticate degli exploit per avere una maggiore probabilità di ottenere un impatto diretto sulle reti".

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Business Meeting Lexmark Marche | XC9525, la nuova generazione della stampa A3
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security
Lug 10
scrivi qui il titolo...
Lug 10
Boost Your Backup Strategy con Object First: demo live e casi di successo
Lug 10
Parallels RAS: accesso remoto sicuro, semplice, e scalabile per la tua azienda
Lug 11
TPM 2.0: Il Cuore della Sicurezza nei PC Moderni

Ultime notizie Tutto

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1