Sembra non conoscere tregua l'emergenza informatica creatasi con la scoperta della vulnerabilità Apache Log4j, che ormai può a ragion veduta definirsi la più grave falla informatica degli ultimi 10 anni. Dal 26 novembre, data in cui è stato creato il numero CVE per la prima e più grave falla (che ha un punteggio CSSV di 10 su 10) sono state scoperte ormai tre vulnerabilità e gli attaccanti stanno banchettando con gli exploit per le prime due. A questo ritmo, quello per la terza non si farà attendere.

Questa non è una sorpresa, perché come specificato ieri non è raro che falle di secondo piano, magari silenti da tempo, vengano alla luce man mano che gli esperti indagano sul problema principale. Il guaio è che le falle secondarie stanno ampliando la superficie d'attacco a disposizione dei cyber criminali, che ormai si stanno affollando per fare breccia nei sistemi non protetti.

Check Point ha registrato fino ad oggi oltre 1,8 milioni di tentativi di sfruttare la vulnerabilità Log4j.

La timeline

Ricapitoliamo la timeline per chiarezza. Il 26 novembre è stato assegnato il CVE alla falla CVE-2021-44228, la prima e più grave, per la quale l'exploit è stato reso pubblico il 1 dicembre. La patch per questa vulnerabilità è datata 10 dicembre. Tre giorni dopo, il 13 dicembre, è stata distribuita la versione di Log4j 2.16.0 per chiudere una seconda falla identificata dalla sigla CVE-2021-45046, che rimuove il supporto per le ricerche dei messaggi e disabilita JNDI per impostazione predefinita. Il motivo è che la prima patch si era rivelata "incompleta in alcune configurazioni non predefinite".

Ieri, 14 dicembre, Cloudflare ha rilevato i primi attacchi che tentano attivamente di sfruttare la seconda falla. Arriviamo al 15 dicembre: i ricercatori della società di sicurezza Praetorian hanno scoperto l'esistenza di una terza vulnerabilità nella versione 2.15.0 di Log4j, che può "consentire l'esfiltrazione di dati sensibili in determinate circostanze". Non è chiaro al momento se i provvedimenti presi con la versione 2.16.0 possano mitigare anche questo nuovo problema perché i dettagli al momento sono secretati per evitare di fornire suggerimenti agli attaccanti.

APT all'opera

Mandiant nel frattempo ha confermato che diversi gruppi APT stanno sfruttando le vulnerabilità della libreria Apache per perpetrare attacchi. John Hultquist, VP of Intelligence Analysis, Mandiant, ha affermato che gli esperti di Mandiant hanno "visto attori statali cinesi e iraniani sfruttare questa vulnerabilità, e prevediamo che anche altri attori statali lo stiano facendo, o si stiano preparando a farlo. Crediamo che questi attori lavoreranno rapidamente per creare appigli in reti desiderabili per seguire attività che potrebbero durare per qualche tempo. In alcuni casi lavoreranno da una lista dei desideri di obiettivi che esisteva molto prima che questa vulnerabilità fosse di dominio pubblico. In altri casi gli obiettivi auspicabili possono essere selezionati dopo un ampio targeting. Gli attori iraniani che abbiamo associato a questa vulnerabilità sono particolarmente aggressivi, avendo preso parte a operazioni ransomware che possono essere eseguite principalmente per scopi dirompenti piuttosto che per guadagni finanziari. Sono anche legati allo spionaggio informatico più tradizionale. "

Fra i nomi coinvolti per certo figura il gruppo Hafnium, a suo tempo già accusato di avere orchestrato gli attacchi che hanno sfruttato le falle di Exchange Server. Si ritiene che Hafnium sia colluso con il Governo cinese.

In campo anche gli Initial Access Broker

Il Microsoft Threat Intelligence Center (MSTIC) reputa inoltre che gli Initial Access Broker stiano sfruttando la falla di Log4Shell per ottenere l'accesso iniziale alle reti target e che lo stiano rivendendo ad affiliati ransomware. Gli esperti di Microsoft allertano inoltre sullo scanning di massa della rete in atto sia da parte degli attaccanti che da parte dei ricercatori di sicurezza.

Una considerazione importante su quanto sta accadendo arriva dalla società di cyber security Dragos: non c'è nulla di anomalo nel fatto che gli attaccanti stiano cercando in tutti i modi di sfruttare delle vulnerabilità appena divulgate. Tuttavia la vicenda di Log4j mette in evidenza – se ancora ce ne fosse bisogno - i rischi derivanti dalle supply chain del software e dal fatto che un pezzo di codice venga utilizzato all'interno di una vasta gamma di prodotti usati da diversi fornitori e distribuiti a clienti in tutto il mondo.

"Questa vulnerabilità trasversale, che è indipendente dal fornitore e che colpisce sia il software proprietario sia quello open source, lascerà un'ampia fascia di settori esposti allo sfruttamento remoto, tra cui energy, water, food and beverage, manufacturing, trasporti, e altro ancora. Man mano che verranno chiuse le porte agli exploit più semplici, gli attaccanti creeranno variazioni più sofisticate degli exploit per avere una maggiore probabilità di ottenere un impatto diretto sulle reti".