la vulnerabilità

Log4J è qui per restare (e far danni): ecco la portata della pandemia informatica

Sfruttare la vulnerabilità nella libreria Log4j – che potrebbe avere un impatto su tutte le applicazioni e i software che utilizzano Java- è molto semplice, soprattutto per la facilità con cui qualsiasi malintenzionato può accedere a un dispositivo connesso da remoto e assumerne il controllo. Siamo, quindi, solo all’inizio

24 Dic 2021
Tommaso Ruocco

Junior Analyst Hermes Bay

ransomware

La scoperta della vulnerabilità nella libreria Log4j ha alimentato ulteriormente la portata della “pandemia informatica” che ormai imperversa da anni, in cui le principali falle di sicurezza nei software e nei servizi più diffusi hanno un impatto sempre più grande su un numero crescente di realtà sia pubbliche che private.

Secondo gli analisti di sicurezza, inoltre, vi è un’alta probabilità che l’entità degli attacchi ransomware aumenterà nei prossimi giorni, in quanto la vulnerabilità appare estremamente critica, e il potenziale sviluppo di alcune varianti evolute che potrebbero aggirare le patch attuali è allo stesso modo altamente probabile.

Paganini: “Log4j è il covid della cybersecurity”

La scoperta di Log4j

Nei giorni passati, il ministero della Difesa Belga ha rivelato che una parte della sua rete è stata isolata a seguito di un attacco informatico di cui il personale della Difesa è venuto a conoscenza lo scorso giovedì 17 dicembre.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Un portavoce del ministero ha dichiarato al quotidiano belga “De Standaard” che l’attacco ha sfruttato delle vulnerabilità nella libreria Log4j.

Il portavoce ha dichiarato che per tutto il fine settimana sono state avviate le attività necessarie “per controllare il problema, continuare le attività e avvisare i partner”, senza tuttavia fornire ulteriori informazioni. Apache Log4j è la libreria di log Java, un framework di logging open source scritto in Java e distribuito da Apache Software Foundation, che gli sviluppatori utilizzano per tenere traccia dell’attività del software nelle app cloud e aziendali. È utilizzato da un vasto numero di aziende in tutto il mondo, consentendo l’accesso a un’ampia gamma di applicazioni molto popolari ed è integrato nei prodotti Microsoft e in quasi tutti i servizi o applicazioni con cui abbiamo familiarità, inclusi Twitter e Amazon.

In seguito ai recenti attacchi, la Apache Software Foundation ha rilasciato una patch di sicurezza che le organizzazioni possono applicare. Tuttavia, a differenza delle grandi aziende tecnologiche che possono disporre di team di esperti di sicurezza informatica per affrontare questo genere di minacce, molte altre aziende o attività di media o piccola entità non dispongono di queste risorse.

I principali CVE (Common Vulnerabilities and Exposures) associati alla vulnerabilità del Log4j sono il CVE-2021-44228, l’identità di tracciamento per l’exploit Log4j originale, il CVE-2021-45046, ovvero l’identità di tracciamento per la vulnerabilità associata alla prima patch di Log4j (versione 2.15.0) e il CVE-2021-45105, l’identità di tracciamento per la vulnerabilità associata alla seconda patch Log4j (versione 2.16.0).

Secondo quanto rilevato dai ricercatori di Microsoft, negli ultimi giorni sono state individuate attività di accesso, presumibilmente da parte di access broker (hacker che traggono vantaggi economici dalla vendita di accessi ai sistemi informatici), che hanno sfruttato la vulnerabilità per ottenere l’accesso alle reti target, per poi ottenere successivamente guadagni dalla vendita di tali accessi.

Tentativi di accesso state-sponsored

Inoltre, come è stato riportato recentemente dalla CNN, il team di Microsoft ha altresì rilevato tentativi di accesso da parte di attori state-sponsored. La vulnerabilità CVE-2021-44228 sarebbe infatti stata sfruttata da diversi gruppi legati a realtà governative provenienti da Cina, Iran, Corea del Nord e Turchia. In particolare, è stato osservato che un gruppo iraniano conosciuto con il nome di “Phosphorus”, noto per l’attività di distribuzione di ransomware, avrebbe acquistato e modificato l’exploit di Log4j; mentre un gruppo di matrice cinese, Hafnium, avrebbe sfruttato la vulnerabilità per attaccare le infrastrutture di virtualizzazione ed estendere il proprio target.

Secondo quanto riportato dal team di ricerca sulle minacce informatiche di Uptycs, società che fornisce soluzioni di sicurezza cloud-native, sono stati identificati nei giorni passati diversi tipi di payload rilasciati sui server colpiti dalla vulnerabilità, inclusi malware noti come i coinminer Kinsing e Xmrig e i malware botnet Dofloo, Tsunami e Mirai, usati per distribuire attacchi DDoS (Distributed Denial of Service) utilizzando la vulnerabilità di Log4j.

Il team di ricercatori di Cryptolaemus ha invece riferito di aver verificato che Dridex, un ceppo di malware che prende di mira le istituzioni finanziarie, è stato diffuso su dispositivi Windows attraverso un exploit della vulnerabilità in Log4j.

I motivi della criticità degli attacchi a log4j

Ci sono due principali motivi per cui questi attacchi, e le relative vulnerabilità del software Log4j, presentano un livello di criticità così elevato da aver ricevuto un rating di CVSS-10, secondo lo standard che definisce il livello della gravità di una vulnerabilità informatica in un range da 0 a 10.

Innanzitutto, sfruttare la vulnerabilità appare estremamente semplice, soprattutto per la facilità con cui qualsiasi malintenzionato può accedere a un computer da remoto e assumere il controllo di un dispositivo connesso a Internet, se il dispositivo esegue determinate versioni di Log4j 2, garantendo anche l’accesso ad altre parti della rete privata; essendo poi Log4j sia open-source che gratuita, la vulnerabilità della libreria tocca essenzialmente ogni parte di Internet e, come evidenziato da Chris Eng, chief research officer presso la società di sicurezza informatica Veracode, “è onnipresente. Anche se sei uno sviluppatore che non utilizza direttamente Log4j, potresti comunque eseguire il codice vulnerabile perché una delle librerie open source che utilizzi dipende da Log4j”.

Poiché Log4j è una libreria Java di registrazione dei messaggi nelle applicazioni ampiamente utilizzata, come precedentemente accennato, questa vulnerabilità potrebbe avere un impatto su tutte le applicazioni e i software che utilizzano Java, rendendo molto difficile una quantificazione dei sistemi potenzialmente interessati dalla minaccia. Di fatto, va considerato che un’applicazione che utilizza Java non ha nemmeno bisogno di essere esposta direttamente a Internet per essere violata attraverso la suddetta vulnerabilità. Aziende come Apple, IBM, Oracle, Cisco, Google e Amazon utilizzano tutte Java. La vulnerabilità potrebbe dunque essere presente in app e siti Web popolari e centinaia di milioni di dispositivi in ​​tutto il mondo che accedono a questi servizi potrebbero essere esposti alla vulnerabilità.

Jen Easterly, direttore della US Cybersecurity and Infrastructure Security Agency, ha dichiarato in un’intervista rilasciata alla CNBC che “la vulnerabilità log4j è la vulnerabilità più grave che abbia mai visto nella mia decennale carriera”. Dopo 12 ore dal primo attacco avvenuto il 10 dicembre, si sono verificati 40.000 attacchi cyber, in tutto il mondo, che hanno tentato di sfruttare le vulnerabilità della libreria Apache Log4j. Nelle 72 ore seguenti, gli attacchi sono arrivati ad ammontare a più di 830.000, evidenziando come questa vulnerabilità rappresenti una delle più gravi falle di sicurezza degli ultimi anni e ad ora il potenziale dei danni causati è incalcolabile.

Di fatto, lo spettro degli attacchi ha coinvolto oltre 90 paesi. Anche l’impatto stesso risulta estremamente ampio e alcuni paesi hanno visto la compromissione di oltre il 60% delle reti aziendali ed oltre il 50% dei network di distribuzione. Tra i settori più colpiti si evidenziano quello finanziario, quello militare e governativo e quello dedicato alla fornitura di servizi IT e ISP.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4