Vulnerabilità di sicurezza critica nella libreria Java "Log4j
Alla fine della scorsa settimana è stata resa nota una vulnerabilità zero-day nella libreria Java "Log4j", ampiamente utilizzata. La vulnerabilità è classificata come critica perché la libreria è integrata in moltissime applicazioni Java.
Venerdì scorso, l'NCSC ha ricevuto segnalazioni di una vulnerabilità critica nella popolare libreria Java "Log4j". La libreria è ampiamente utilizzata in molti prodotti software commerciali e open source.
La vulnerabilità di sicurezza (CVE-2021-44228 1) è criticoin quanto può essere sfruttato in remoto da un utente non autenticato per eseguire codice dannoso arbitrario. La criticità della vulnerabilità è valutata 10 (su 10) nel Common Vulnerability Scoring System (CVSS), che indica la gravità della vulnerabilità.
Applicare rapidamente le patch di sicurezza
Poiché molti fornitori di terze parti utilizzano "Log4j" nei loro prodotti, stanno lavorando duramente per rilasciare patch per i loro prodotti. Nelle ultime 48 ore, molti fornitori hanno pubblicato patch di sicurezza per i loro prodotti. L'NCSC esorta le organizzazioni e le infrastrutture critiche nazionali a controllare il proprio panorama software per l'uso di "Log4j" e ad applicare le patch appropriate il prima possibile. Se non è possibile eseguire la riparazione, si raccomanda di adottare tutte le misure correttive possibili per evitare ulteriori danni.
Anche i privati sono stati colpiti
Ma non solo le aziende sono a rischio. La libreria "Log4j" è presente anche in molti componenti di rete e di sistema utilizzati nel settore privato. È quindi importante che i privati mantengano sempre aggiornati i propri sistemi (computer, tablet, smartphone, router WLAN, stampanti, ecc.) e ne assicurino il regolare aggiornamento. In questo modo, le patch di sicurezza rese continuamente disponibili dai produttori vengono applicate il più rapidamente possibile.
Avvertenze per le organizzazioni potenzialmente interessate
L'NCSC è in costante contatto con partner nazionali e internazionali su questo tema. Sabato scorso, il Centro nazionale per la sicurezza informatica ha iniziato a notificare alle organizzazioni svizzere potenzialmente interessate le istanze vulnerabili di "Log4j" accessibili via Internet. Tali notifiche sono state inviate anche a diverse infrastrutture critiche nazionali.
Anche se la vulnerabilità potrebbe essere utilizzata per attacchi mirati alle infrastrutture critiche nazionali, l'NCSC non ha ricevuto finora alcuna segnalazione. I tentativi di sfruttamento osservati finora sono stati utilizzati per diffondere malware di massa come "Mirai2", "Kinsing3" e "Tsunami3" (noto anche come Muhstik). Queste botnet sono utilizzate principalmente per attacchi DDoS (Mirai, Tsunami) o per il mining di criptovalute (Kinsing).
Raccomandazioni e informazioni utili
Per gli amministratori di sistema, l'NCSC ha fornito raccomandazioni su come procedere e un elenco di indicatori di compromissione (IOC) sul blog di GovCERT:
Blog GovCERT: exploit zero-day che colpisce la popolare libreria Java Log4j (disponibile in inglese)
Fonte: NCSC