Log4Shell è ancora tra noi: oltre 90 mila applicazioni vulnerabili. Ma potrebbe essere solo la punta dell’iceberg
A cinque mesi dalla scoperta della grave vulnerabilità a carico della libreria Log4j c’è ancora un numero piuttosto importante di applicazioni server vulnerabile al suo sfruttamento perché le patch di sicurezza non sono state applicate.
La vulnerabilità, scoperta a dicembre e tracciata con l’etichetta CVE-2021-44228 consente ad un aggressore di poter eseguire codice da remoto e ottenere l’accesso a sistemi che fanno uso di Log4j, che ricordiamo essere una libreria ampiamente utilizzata in una vasta gamma di applicazioni, strumenti e servizi software scritti in Java per eseguire il log di eventi.
Battezzata Log4Shell, la vulnerabilità fu riconosciuta come “una delle più gravi, se non la più grave” della storia informatica secondo Jen Easterly, direttore dell’agenzia statunitense per la sicurezza informatica. Nonostante il clamore e l’attenzione sollevata da più parti per una tempestiva applicazione delle patch correttive e delle opportune contromisure, attualmente si rilevano ancora numerosissime applicazioni vulnerabili.
I ricercatori della società di sicurezza informatica Rezilion hanno individuato oltre 90 mila applicazioni ancora vulnerabili connesse ad Internet e più di 68 mila server pubblicamente esposti. La verifica è stata condotta con il noto motore di ricerca Shodan, e i ricercatori sostengono che quanto riscontrato sia solamente una piccola parte di una superficie di attacco vulnerabile ancor esistente, una vera e propria “punta dell’iceberg”.
La pericolosità della falla a carico di Log4j, oltre alla sua diffusione, è rappresentata anche dalla facilità di sfruttamento. Non appena i dettagli della vulnerabilità sono divenuti di pubblico dominio, si è assistito a molti tentativi di distribuzione di malware di ogni genere sui server vulnerabili, ad opera sia di singoli hacker, sia di gruppi ransomware, sia di gruppi più strutturati supportati da Stati.
Il fatto che ancora oggi vi siano così tante applicazioni e server vulnerabili non è necessariamente da imputare ad una gestione superficiale della sicurezza, ma più ad una difficoltà di conoscere se realmente il problema possa interessare un dato sistema: la libreria Log4j è così diffusamente utilizzata che potrebbe essere presente in strumenti e servizi di secondo piano che possono sfuggire all’attenzione degli amministratori di rete. Un’altra possibilità può essere quella della difficoltà di aggiornare elementi in contesti mission-critical, con il rischio di causare down di servizi indispensabili.
E’ comunque auspicabile condurre attività di verifica e analisi volte a rilevare vulnerabilità critiche: nel caso particolare di Log4Shell è inoltre imperativo agire, qualora la si dovesse riscontrare, considerando il sistema o la rete come già effettivamente compromesso, andando quindi alla ricerca di altri indizi e segnali di attività potenzialmente dannose, adottando quindi le opportune contromisure.
Fonte: http://feeds.hwupgrade.it/