90.000 app Java ancora vulnerabili a Log4Shell

Secondo una stima sarebbero almeno 90.000 le applicazioni Java connesse a Internet ancora vulnerabili a Log4Shell.

Business Vulnerabilità

A oltre quattro mesi dalla scoperta della vulnerabilità Log4Shell, ci sono ancora milioni di applicazioni Java vulnerabili che gli attaccanti possono sfruttare per assumere il controllo dei sistemi da remoto. A fare il calcolo è l’azienda di cybersecurity Rezilion, che ha usato il motore di ricerca Shodan (molto usato anche dal cybercrime) per contare quante app vulnerabili a Log4Shell sono anche esposte a Internet.

La risposta è che sono almeno 90.000, ma per quanto possano sembrare molte, potrebbe essere “solo la punta dell'iceberg rispetto alla superficie di attacco effettiva", ammette Yotam Perkal Head Of Vulnerability Research.

Rezilion si aspettava che a causa della massiccia copertura mediatica riservata a questa falla, la maggior parte delle applicazioni fosse ormai stata corretta. Invece le cose non stanno così, perché i numeri sono tutt’altro che confortanti e sono ancora in uso molte applicazioni vulnerabili a Log4Shell.


La ricerca

I ricercatori hanno diviso le app connesse a Internet in tre categorie. Una rappresenta app che, nella loro ultima release, usano tuttora versioni obsolete di Log4j. Una racchiude invece quelle app che, nonostante siano aggiornate, sfruttano ancora versioni di Log4j prive di patch. Terzo gruppo riguarda server del videogame Maincraft: furono a primi su cui fu rilevata la falla, e sono tuttora quelli su cui persiste maggiormente.

Rezilion ha inoltre chiamato in causa altre fonti, come per esempio il servizio di Google Open Source Insights, che scansiona milioni di pacchetti open source. Ha rilevato, su un totale di 17.840 pacchetti interessati dalla vulnerabilità, solo 7.140 pacchetti a cui sono state applicate le patch. In altre parole, quasi il 60% del totale è tuttora vulnerabile.

Per non parlare del fatto che molte applicazioni sfruttano ancora release 1.x di Log4j, per le quali non sono applicabili le patch pubblicate. È da ammettere che questo è un caso a sé stante, dato che tali release sono ufficialmente a fine vita da agosto 2015, quindi non solo non sono state aggiornate per Log4Shell, ma sono anche vulnerabili a lunga serie di falle, comprese quelle RCE e di altro tipo.


Sotto sfruttamento attivo

Il problema nei dati rilevati da Rezilion non è nuovo in termini assoluti. Ci sono milioni di sistemi connessi a Internet su cui girano applicazioni, sistemi operativi e driver non aggiornati, e questo è preoccupante in senso generale. Tuttavia, Log4Shell è tuttora un “bersaglio caldo” per i threat actor, che non hanno mai smesso di cercare attivamente sistemi vulnerabili.

La lista di chi ha cavalcato questa vulnerabilità è lunga, va dai gruppi ransomware ai cryptominer, passando per gruppi APT con finalità di spionaggio a campagne dei più disparati generi. Il rischio che introducono nelle aziende i prodotti esposti e privi di patch è quindi altissimo, e sarebbe tale da giustificare l’investimento di tempo necessario per chiudere ogni possibilità di sfruttamento.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Ott 12
Business Continuity in IperConvergenza per l’Edge e la PMI
Ott 18
IT CON 2022 - Milano
Ott 19
IDC Future of Data 2022
Ott 20
SAP NOW 2022
Ott 20
Dell Technologies Forum 2022
Ott 20
IT CON 2022 - Roma
Nov 08
Red Hat Summit Connect - Roma
Nov 30
Red Hat Open Source Day - Milano

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter