Hacker in tutto il mondo, inclusi alcuni gruppi affiliati al governo cinese, hanno lanciato più di 840.000 attacchi a varie società a livello globale in poco meno di una settimana fruttando la vulnerabilità Log4Shell, recentemente scoperta e che affligge tantissimi progetti che usano la libreria Java Log4j.
Alcuni esperti di cybersecurity hanno affermato che gli attacchi che sfruttano Log4j hanno avuto una crescita esponenziale a partire da venerdì scorso, con picchi registrati superiori ai 100 attacchi al secondo. Tra i fautori di molti di questi attacchi secondo Charles Carmakal, CTO di Mandiant, ci sono hacker alle dipendenze del governo cinese che hanno sfruttato attivamente Log4j, per eseguire attacchi senza indicare le motivazioni o i destinatari. A confermare la dichiarazione di Carmakal ci sono i ricercatori diSentinelOne, che hanno documentato degli attacchi da parte di hacker cinesi.
L’interesse per Log4j è motivato dal fatto che un hacker con intenzioni malevole può facilmente guadagnare il controllo su computer remoti, che eseguono programmi sviluppati nel popolare linguaggio Java e che sfruttano la libreria. Secondo i ricercatori di Check Point, in molti casi la vulnerabilità viene sfruttata per installare software di mining per criptovalute, o per rendere i computer parte di grandi botnet destinate agli usi più disparati, come attacchi DDoS, spam di email, o più generalmente per usi non legittimi. I ricercatori affermano anche che quasi la metà di tutti gli attacchi sono stati condotti gruppi di pirati informatici già noti: i cyber criminali utilizzano i malware Tsunami e Mirai per infettare i client e includerli in una botnet, da utilizzare poi per effettuare attacchi DDoS, oppure utilizzano XMRig, un software malevolo usato per il mining di Monero.
Jen easterly, direttore di CISA ( US Cybersecurity and Infrastructure Security Agency) dichiara riguardo a Log4j: “una delle più serie, se non la più seria vulnerabilità con cui ho avuto a che fare durante la mia carriera” e indica che centinaia di milioni di dispositivi a livello globale sono attualmente esposti. Secondo Matthew Prince di Cloudflare, la falla di Log4J esiste dal 2013 ed è sempre passata inosservata fino al primo dicembre, momento in cui è divenuta pubblica.
Anche Guillaume Acard, CTO di Vaultinum, ha voluto rilasciare un commento sulla vicenda: "la vulnerabilità di Log4Shell è motivo di enorme preoccupazione per le applicazioni aziendali che si basano sul popolare logger open source, log4j. Se da un lato i modi con cui la vulnerabilità viene sfruttata non sono completamente noti e gli sviluppatori di software si stanno affrettando a metterci una toppa, dall'altro questa dimostra come le aziende abbiano sviluppato una iper-dipendenza dal codice open source, e come gli sviluppatori interni debbano controllare proattivamente e regolarmente le falle conosciute nel codice e fissare di conseguenza la loro base complessiva".
"Gli sviluppatori possono valutare e identificare i rischi nel codice utilizzando un software di due diligence tecnologica. Questo strumento può infatti aiutare a gestire l'uso del codice open source in basi di codice più ampie sviluppate in-house, identificando i termini delle loro licenze e controllando eventuali vulnerabilità pubbliche attive, così come gli aggiornamenti del software open source. In questo modo, gli strumenti di due diligence tecnologica sono in grado di identificare quali ambienti sono attualmente esposti alla vulnerabilità Log4Shell, cosicché gli sviluppatori possano rapidamente applicare una toppa dove necessario e controllare gli aggiornamenti di altri software e del codice sorgente all'interno del loro sistema".
"Avere strumenti di due diligence del software a regime e controllare regolarmente il software non è pratica diffusa in molte aziende, in particolare in startup e PMI, tuttavia in situazioni come questa rappresentano un'ancora di salvezza per aiutare a mantenere il software privo di rischi e conoscere le potenziali vulnerabilità a cui il software potrebbe essere esposto. Sebbene gli strumenti di due diligence tecnologica non possano chiaramente essere in grado di anticipare le vulnerabilità che non sono ancora completamente note, senza la loro implementazione le aziende potrebbero anche non rendersi conto di essere esposte a bug già esistenti nel loro codice. Per questo motivo, è necessario che il controllo regolare del software diventi una pratica comune tra gli sviluppatori".