Home Prodotti Sicurezza Exploit Log4j, scansioni e attacchi distribuiti a livello globale

Exploit Log4j, scansioni e attacchi distribuiti a livello globale

Da quando è stata svelata la prima vulnerabilità nello strumento di logging Log4j dell’Apache Foundation, il 10 dicembre, sono state rilasciate tre serie di fix per la libreria Java, man mano che venivano scoperte ulteriori falle.

Questa rapida iterazione di fix ha lasciato gli sviluppatori di software e le organizzazioni di tutto il mondo nella difficoltà di valutare e mitigare la loro esposizione, con indicazioni che cambiano quasi quotidianamente.

Nel frattempo, gli esperti di sicurezza hanno visto i tentativi di rilevare o sfruttare la vulnerabilità continuare senza sosta.

A metterlo in evidenza è l’ultimo report sulla vulnerabilità di Log4j condiviso dalla società di cybersecurity Sophos all’inizio della settimana.

SophosLabs ha continuato a tracciare i tentativi fatti contro le reti dei suoi clienti, con l’obiettivo di sfruttare Log4Shell.

Il traffico osservato – hanno sottolineato gli esperti di cybersecurity di SophosLabs – include scansioni benigne da parte di ricercatori di sicurezza e penetration tester, così come attività dannose. Quindi non riflette direttamente lo stato dei tentativi di cyber-criminali e player statali di sfruttare la vulnerabilità.

Ma, aggiunge Sophos, da porzioni di dati è possibile vedere abbastanza sulle richieste per ottenere una certa comprensione dell’infrastruttura coinvolta in questi tentativi, e in alcuni casi l’intento che si cela dietro di essi.

Log4j Sophos

Ciò che Sophos può affermare con certezza è di non una aver rilevato una riduzione significativa dei tentativi di exploit da quando hanno raggiunto il picco il 15 dicembre, e che questi probe ed exploit provengono da un’infrastruttura distribuita a livello globale.

In alcuni casi, Sophos ha registrato una richiesta proviene da un indirizzo IP in un’area geografica, con URL incorporati per Log4j che si collegano a server altrove, a volte più server diversi. E l’azienda ha visto milioni di tentativi in entrata di sfruttare Log4j nella telemetria dei suoi clienti.

Guardando la fonte dei pacchetti degli attacchi, Sophos ha individuato che la stragrande maggioranza proviene da indirizzi IP in Russia e Cina.

Questo non include il traffico che nasconde la sua fonte attraverso l’uso di reti private virtuali. Una quantità statisticamente significativa di traffico è stata instradata attraverso il punto di uscita di NordVPN a Panama, sottolinea ad esempio Sophos.

Del traffico di cui Sophos ha potuto identificare la fonte, l’11% proveniva da un singolo indirizzo IP in Russia: 195[.]54[.]160[.]149. Questo indirizzo IP è stato associato alla botnet di criptovalute Kinsing.

Gli esperti di SophosLabs hanno spiegato che, a causa del modo in cui funzionano gli exploit di Log4j, le richieste di lookup possono essere dirette a un luogo diverso dalla fonte dell’exploit.

Quasi due terzi di queste richieste avevano URL per infrastrutture in India. E oltre il 40% aveva URL diretti a infrastrutture negli Stati Uniti.

Oltre il sette per cento delle richieste di exploit erano dirette al dominio dello strumento Interactsh: il 18 per cento di tutto il traffico verso le infrastrutture statunitensi. I dati percentuali indicati da Sophos superano il 100% perché alcuni tentativi di exploit hanno utilizzato più URL con destinazioni diverse.

Log4j Sophos

Inoltre, gli esperti di cybersecurity sottolineano che, siccome Interactsh è stato utilizzato sia da ricercatori che da player malintenzionati, è difficile separare il traffico buono da quello cattivo. Ma Sophos ne è certa: è chiaro che i tentativi di exploit malevoli rimangono la maggioranza di questo traffico.

Per quanto riguarda mitigation e protezione, quando la prima patch per Log4j è stata rilasciata, il team di Apache ha offerto una serie di work-around per prevenire l’exploit.

Ma – mette in evidenza Sophos – tutte queste correzioni si sono rivelate inutili quando sono stati scoperti ulteriori percorsi di vulnerabilità.

Sophos avverte che l’unico modo sicuro per proteggersi dall’exploit – sia remote code execution che denial of service – è di aggiornare il software per utilizzare le attuali versioni “sicure” di Log4j (2.17.0 per Java 8, 2.12.3 per Java 7). Anche se non va dimenticato che la situazione è ancora in continua evoluzione, e quindi da monitorare.

Una lista di prodotti commerciali vulnerabili viene mantenuta da più agenzie governative di sicurezza informatica, tra cui la Cybersecurity and Infrastructure Security Administration (CISA) degli Stati Uniti.

Le organizzazioni dovrebbero valutare la vulnerabilità del loro software il più presto possibile e distribuire gli aggiornamenti dove possibile.

Dove le correzioni non sono ancora disponibili – sottolinea Sophos –, le definizioni di network filtering proteggeranno contro una ampia percentuale del traffico di exploit esistente, ma non garantiscono la protezione contro le minacce emergenti e gli attacchi altamente mirati.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche
css.php