Log4j, scoperta una seconda vulnerabilità: già emessa la patch, da installare subito

Ad aggravare il già difficile quadro che riguarda la vulnerabilità CVE-2021-44228, conosciuta con il nome di Log4Shell, si aggiunge ora una seconda vulnerabilità a carico sempre di Log4j che può portare in talune situazioni a creare attacchi di tipo Denial of Service (DOS). Log4Shell è stata inizialmente risolta nella versione 2.15.0 di Log4j, che tuttavia è risultata "incompleta in alcune configurazioni non predefinite". La nuova vulnerabilità, catalogata con il codice CVE-2021-45046, viene risolta con la versione 2.16.0 di Log4j rilasciata da Apache.

La seconda vulnerabilità consente agli attaccanti di sfruttare JNDI Lookup per eseguire un attacco DOS. La soluzione più immediata, nel caso non sia possibile installare aggiornamenti o patch per eventuali problemi di continuità di servizio o retrocompatibilità, è quella di disabilitare la funzionalità JNDI.

Intanto gli attacchi che cercano di sfruttare la vulnerabilità Log4Shell stanno rapidamente diffondendosi. La società di sicurezza ESET ha pubblicato una mappa che mostra l'incidenza del problema su base geografica. Il maggior numero di eventi si è verificato negli USA, seguiti da Regno Unito, Turchia, Germania e Paesi bassi. Roman Kováč, Chief Research Officer di ESET, ha commentato la situazione: "Il volume delle nostre rilevazioni conferma che si tratta di un problema su larga scala che non si risolverà in breve tempo. Certamente, gli aggressori stanno testando molte varianti di exploit, ma non tutti i tentativi di sfruttamento sono necessariamente malevoli. Alcuni possono essere benigni, considerando che i ricercatori, le aziende di infosec e i penetration tester stanno anche testando gli exploit per scopi di difesa".

A fornire un ulteriore quadro sulla portata del problema è Check Point Research che dalla scoperta della vulnerabilità ha registrato oltre 1,2 milioni di tentativi di individuazione della vulnerabilità, e tentativi di sfruttamento su oltre il 44% delle reti aziendali a livello globale. Al momento in cui scriviamo i dati di Check Point sono aggiornati alle ore 15:00 del 14 dicembre.

Bitdefender ha invece riscontrato lo sfruttamento di Log4Shell da parte di gruppi supportati da governi e dal gruppo ransomware Khonsari. Si tratta di un ransomware relativamente recente e con funzionalità di base rispetto ad altri ransomware-as-a-service più sofisticati. Bitdefender osserva che Khonsari è probabilmente un attore di minacce che sta sperimentando il nuovo vettore di attacco, ma mette in guardia anche sul fatto che attaccanti più avanzati stiano cercando di sfruttare la vulnerabilità. Anzi, in quest'ultimo caso è probabile che il loro scopo non sia tanto quello di trovare una maniera semplice ed immediata di riscuotere un bottino, quanto più quello di riuscire a sfruttare Log4Shell per ottenere una persistenza su una rete bersaglio e poter preparare un attacco più sofisticato in un secondo momento.

La gravità della situazione ha portato la CISA Statunitense ad imporre a tutte le agenzie federali civili di correggere la vulnerabilità di Log4j entro il 24 dicembre. Si tratta di una scadenza piuttosto stretta, che il CTO di Bugcrowd ha accolto positivamente, ma che potrebbe essere molto difficile da rispettare per la maggior parte delle realtà: "Devono trovare Log4j prima di poterlo correggere, e molti sono ancora fermi in questa fase. Se viene trovato, è probabile che esso sia profondamente integrato nelle applicazioni esistenti, e richiederà diversi test per garantire che una patch non comprometta altro. Restringere i tempi è una buona cosa per coloro che non stanno seriamente considerando il problema, ma i prossimi giorni saranno difficili per molti". Anche il CSIRT italiano ha attivato una pagina di riferimento per la vulnerabilità Log4Shell.

Come abbiamo già avuto modo di osservare, la diffusione di Log4j, la sua stretta interdipendenza con altri elementi, e la facilità di sfruttamento della vulnerabilità Log4Shell rendono la situazione particolarmente grave, creando un bacino di potenziali bersagli realmente sterminato. Attualmente è lecito attendersi che i gruppi criminali e attaccanti di ogni genere e scopo stiano cercando di sfruttare la vulnerabilità per ottenere accesso a tutto quanto a cui possono accedere, prima che le contromisure vengano diffusamente applicate così da poter eseguire attacchi anche in seguito. Attualmente la priorità è quella di ridurre l'esposizione applicando le opportune patch (o le dovute mitigazioni temporanee quando l'applicazione delle patch non è possibile) e verificando con attenzione la presenza di elementi esposti o compromessi all'interno dell'infrastruttura. Rimandiamo a Techsolvency per gli approfondimenti e gli aggiornamenti sulla situazione.