La gravità della vulnerabilità in Log4j è tutt'altro che teorica. Criminali informatici scan porti di tutto il mondo per trovare il modo di sfruttarli. I ricercatori della sicurezza hanno osservato centinaia di migliaia di attacchi.
Negli ultimi giorni Check Point Software ha riconosciuto 470,000 tentativi scan reti aziendali in tutto il mondo. Il scanI messaggi vengono eseguiti, tra le altre cose, per trovare server che consentano richieste HTTP esterne. Tali server sono inclini a sfruttare la famigerata vulnerabilità della libreria Java Log4j. Se un server consente richieste HTTP, un utente malintenzionato può eseguire il ping del server con una singola riga che punta a un server remoto con istruzioni Java per l'esecuzione di malware. Se il server sottoposto a ping è connesso a un'applicazione Java che elabora Log4j, l'applicazione Java elabora la riga come comando per eseguire il malware. In fondo alla riga, il server della vittima esegue gli ordini di un aggressore. L'organizzazione per la sicurezza Sophos afferma di aver identificato centinaia di migliaia di attacchi.
Facce familiari
In precedenza abbiamo scritto un articolo illuminante sul funzionamento tecnico sopra menzionato della vulnerabilità in Log4j. Il più grande presupposto per l'abuso è la capacità di raggiungere le applicazioni Java che incorporano Log4j. In alcuni casi questo è un gioco da ragazzi. Ad esempio, Apple ha utilizzato iCloud Log4j per registrare i nomi degli iPhone. Modificando il nome del modello di un iPhone in iOS con un'istruzione per Java, è stato possibile violare i server Apple.
In altri casi, le applicazioni sono meno facili da influenzare. La minaccia più grande viene dagli aggressori con esperienza, conoscenza e tecniche esistenti. I ricercatori di sicurezza di Netlab360 hanno creato due sistemi esca (honeypot, ndr) per invitare attacchi alle applicazioni Java con Log4j. I ricercatori hanno così attirato nove nuove varianti di noti tipi di malware, tra cui MIRAI e Muhstik. I ceppi di malware sono progettati per abusare di Log4j. Un obiettivo di attacco comune è il rafforzamento delle botnet per il mining di criptovalute e gli attacchi DDoS. Check Point Software ha condotto un'indagine simile su scala più ampia. Negli ultimi giorni, l'organizzazione per la sicurezza ha registrato 846,000 attacchi.
Difesa
È ovvio che i criminali informatici cercano e sfruttano le versioni vulnerabili di Log4j. La difesa più consigliabile è e rimane l'inventario di tutte le applicazioni Log4j in un ambiente. Se il fornitore dell'applicazione in cui viene utilizzato Log4j ha rilasciato una versione aggiornata, si consiglia di applicare le patch. In caso contrario, la disabilitazione è l'opzione più sicura. L'NCSC mantiene una panoramica della vulnerabilità del software in cui viene elaborato Log4j.
Al momento è tutt'altro che consigliabile sviluppare le proprie misure software o regolare il funzionamento di Log4j. La vulnerabilità ha variazioni. Microsoft, tra gli altri, ha rilevato più varianti della regola utilizzata per indicare alle applicazioni Java di eseguire malware. Check Point parla di oltre 60 mutazioni.