Da asporto chiave
- Migliaia di server e servizi online sono ancora esposti alla vulnerabilità loj4j pericolosa e facilmente sfruttabile, hanno scoperto i ricercatori.
- Sebbene le minacce principali siano i server stessi, i server esposti possono anche mettere a rischio gli utenti finali, suggeriscono esperti di sicurezza informatica.
- Purtroppo, la maggior parte degli utenti può fare ben poco per risolvere il problema oltre a seguire le migliori pratiche di sicurezza desktop.
La pericolosa vulnerabilità di log4J si rifiuta di morire, anche mesi dopo che è stata resa disponibile una correzione per il bug facilmente sfruttabile.
I ricercatori di sicurezza informatica di Rezilion hanno recentemente scoperto oltre 90.000 applicazioni vulnerabili con connessione a Internet, inclusi oltre 68.000 server Minecraft potenzialmente vulnerabili i cui amministratori non hanno ancora applicato le patch di sicurezza, esponendo loro e i loro utenti ad attacchi informatici. E puoi farci poco.
"Purtroppo, log4j ci perseguiterà per un po' di tempo", ha detto a Lifewire Harman Singh, direttore del fornitore di servizi di sicurezza informatica Cyphere. "Poiché questo problema viene sfruttato dal lato server, [le persone] non possono fare molto per evitare l'impatto di una compromissione del server."
The Haunting
La vulnerabilità, soprannominata Log4 Shell, è stata descritta per la prima volta nel dicembre 2021. In un briefing telefonico all'epoca, il direttore dell'agenzia statunitense per la sicurezza informatica e la sicurezza delle infrastrutture (CISA), Jen Easterly, ha descritto la vulnerabilità come "una delle più grave che ho visto in tutta la mia carriera, se non la più grave."
In uno scambio di e-mail con Lifewire, Pete Hay, Instructional Lead presso la società di test e formazione sulla sicurezza informatica SimSpace, ha affermato che la portata del problema può essere valutata dalla compilazione di servizi e applicazioni vulnerabili di fornitori popolari come Apple, Steam, Twitter, Amazon, LinkedIn, Tesla e decine di altri. Non sorprende che la comunità della sicurezza informatica abbia risposto con tutta la sua forza, con Apache che ha rilasciato una patch quasi immediatamente.
Condividendo i loro risultati, i ricercatori Rezilion speravano che la maggior parte, se non tutti, i server vulnerabili sarebbero stati corretti, data l'enorme copertura mediatica del bug. "Ci sbagliavamo", scrivono i ricercatori sorpresi. "Purtroppo, le cose sono tutt' altro che ideali e molte applicazioni vulnerabili a Log4 Shell esistono ancora in natura."
I ricercatori hanno trovato le istanze vulnerabili utilizzando il motore di ricerca Shodan Internet of Things (IoT) e ritengono che i risultati siano solo la punta dell'iceberg. L'effettiva superficie di attacco vulnerabile è molto più ampia.
Sei a rischio?
Nonostante la superficie di attacco esposta piuttosto significativa, Hay credeva che ci fossero delle buone notizie per l'utente domestico medio. "La maggior parte di queste vulnerabilità [Log4J] esistono sui server delle applicazioni ed è quindi molto improbabile che abbiano un impatto sul computer di casa", ha affermato Hay.
Tuttavia, Jack Marsal, Senior Director, Product Marketing con il fornitore di sicurezza informatica WhiteSource, ha sottolineato che le persone interagiscono continuamente con le applicazioni su Internet, dallo shopping online ai giochi online, esponendole ad attacchi secondari. Un server compromesso può potenzialmente rivelare tutte le informazioni che il fornitore di servizi detiene sul proprio utente.
"Non c'è modo che un individuo possa essere sicuro che i server delle applicazioni con cui interagisce non siano vulnerabili agli attacchi", ha avvertito Marsal. "La visibilità semplicemente non esiste."
Purtroppo, le cose sono tutt' altro che ideali e molte applicazioni vulnerabili a Log4 Shell esistono ancora in natura.
Con una nota positiva, Singh ha sottolineato che alcuni fornitori hanno reso abbastanza semplice per gli utenti domestici affrontare la vulnerabilità. Ad esempio, indicando l'avviso ufficiale di Minecraft, ha affermato che le persone che giocano all'edizione Java del gioco devono semplicemente chiudere tutte le istanze in esecuzione del gioco e riavviare il launcher di Minecraft, che scaricherà automaticamente la versione patchata.
Il processo è un po' più complicato e complicato se non sei sicuro di quali applicazioni Java stai eseguendo sul tuo computer. Hay ha suggerito di cercare file con estensione.jar,.ear o.war. Tuttavia, ha aggiunto che la semplice presenza di questi file non è sufficiente per determinare se sono esposti alla vulnerabilità log4j.
Ha suggerito alle persone di utilizzare gli script pubblicati dal Computer Emergency Readiness Team (CERT) della Carnegie Mellon University (CMU) del Software Engineering Institute (SEI) per cercare la vulnerabilità nei propri computer. Tuttavia, gli script non sono grafici e il loro utilizzo richiede di scendere alla riga di comando.
Tutto sommato, Marsal credeva che nel mondo connesso di oggi, spetta a tutti fare del proprio meglio per rimanere al sicuro. Singh ha concordato e consigliato alle persone di seguire le pratiche di sicurezza desktop di base per rimanere al passo con qualsiasi attività dannosa perpetuata sfruttando la vulnerabilità.
"[Le persone] possono assicurarsi che i loro sistemi e dispositivi siano aggiornati e che le protezioni degli endpoint siano in atto", ha suggerito Singh. "Questo li aiuterebbe con qualsiasi avviso di frode e prevenzione contro eventuali ricadute da sfruttamento selvaggio."
