Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Log4j: il software opensource viene pagato troppo poco? La community si interroga.

Redazione RHC : 13 Dicembre 2021 21:34

Log4j 2 è un framework di registrazione open source basato su Java che rientra tra i servizi di Apache Foundation, dove chiunque può usarlo gratuitamente. Il software viene utilizzato dalle aziende per tenere traccia delle attività sui propri server (o anche sulle app lato client).

Come abbiamo riportato nei giorni scorsi, un bug monitorato come CVE-2021-44228, consente agli aggressori di eseguire codice in remoto tramite una stringa appositamente predisposta. Poiché Log4j è così comune, i criminali informatici possono facilmente manipolare le stringhe di registro e controllare il server o il client di applicazioni comuni sviluppate in Java.

Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Uno dei motivi principali dell’esistenza di questo bug è che alcune versioni di Log4j sono in grado di eseguire testo arbitrario tramite un protocollo di ricerca nella directory (protocollo LDAP). Se vuoi leggere una spiegazione dettagliata del problema in un linguaggio semplice, leggi questo thread di Twitter.

Chi è interessato?

La natura open source e la compatibilità diffusa di Log4j lo rendono un’ottima scelta e moltissime aziende. Infatti utilizzano questa libreria Apple, Microsoft, Steam, Twitter, Baidu e Cloudflare. Non appena sono emersi i dettagli sulla vulnerabilità, diverse persone hanno iniziato a scansionare i server per verificare se vulnerabili al suo sfruttamento.

Alcuni programmatori hanno testato vari siti e servizi per verificare la potenziale portata dell’attacco, e la situazione non è per nulla tranquillizzante

È importante sottolineare che, come notato da Ars Technica, molte di queste aziende hanno diverse linee di difesa contro gli attacchi informatici. Quindi, anche se alcuni server sono aperti all’attacco Log4j, altri sistemi di sicurezza possono contrastare l’attacco ed evitare che tali server siano compromessi-

Il problema è emerso attraverso i siti Minecraft , quando i ricercatori hanno scoperto che una stringa specifica passata al server o persino alla chat di gioco, avrebbe potuto fornire agli aggressori il controllo del sistema.

Il CEO della società di infrastrutture web Cloudflare, Matthew Prince, ha twittato che la società lancerà una certa protezione a tutti i clienti, compresi quelli che utilizzano il piano gratuito.

In particolare, ci sono diversi dispositivi che eseguono componenti server Java e Log4j potrebbe farne parte. Quindi anche il tuo tostapane potrebbe essere un bersaglio delle attività di hacking.

La piattaforma di sicurezza dei dati LunaSec ha una lunga spiegazione tecnica sull’impatto del bug sul suo blog .

Come mitigare la vulnerabilità

Ore dopo la scoperta del bug, il team di sicurezza della Apache Foundation ha rilasciato una nuova versione di Log4j con patch che proteggono i sistemi dagli attacchi.

Il proprietario di Minecraft, Mojang Studios, ha anche pubblicato una guida per le persone che eseguono il client di gioco e i server di gioco ufficiali per correggere il bug.

Ha avvertito che le persone che eseguono client di gioco di terze parti potrebbero dover attendere che il provider risolva l’exploit. Inoltre, il team di risposta agli incidenti informatici del governo svizzero (CERT) ha twittato una guida alla prevenzione di facile comprensione in formato immagine che si è diffusa in rete.

Aziende come Red Hat e VMWare hanno rilasciato le proprie correzioni per risolvere il problema.

Per gli amministratori del server, diversi blog sulla sicurezza contengono guide dettagliate per le strategie di mitigazione. Un utente di GitHub ha creato un elenco super utile di patch rilasciate da aziende, tra cui Netflix, Citrix, Docker e Oracle.

Il problema è che siamo ancora all’inizio.

Mentre i fornitori di servizi e la comunità open source lavorano 24 ore su 24 per risolvere il problema e proteggere il maggior numero possibile di sistemi, il pericolo di violazioni di sicurezza a seguito delle massicce scansioni effettuate dagli attori malevoli è molto elevato.

Come notato da Bleeping Computer nel suo rapporto la scorsa notte, gli aggressori stanno installando cryptominer, malware e implementando botnet per attacchi DDoS (Distributed Denial of Service).

Il team di intelligence sulle minacce di Microsoft ha notato che molti aggressori utilizzano lo strumento di rilevamento della penetrazione Colbat Strike per il furto di credenziali.

Sean Gallagher, un ricercatore senior sulle minacce presso Sophos, ha anche affermato che la società di sicurezza ha rilevato molti tentativi di esecuzione di codice remoto:

Dal 9 dicembre, Sophos ha rilevato centinaia di migliaia di tentativi di eseguire codice in remoto utilizzando la vulnerabilità Log4Shell. Inizialmente, si trattava di test di exploit Proof-of-Concept (PoC) da parte di ricercatori di sicurezza e potenziali aggressori, tra gli altri, oltre a molte scansioni online per la vulnerabilità. Questo è stato rapidamente seguito da tentativi di installare minatori di monete, inclusa la botnet Kinsing miner.L’intelligence più recente suggerisce che gli aggressori stanno cercando di sfruttare la vulnerabilità per esporre le chiavi utilizzate dagli account Amazon Web Service.

Il ricercatore di sicurezza Greg Linares ha twittato che gli attori delle minacce potrebbero costruire un worm per attaccare molti server attraverso il bug Log4j e causare danni o richiedere denaro.

La Cybersecurity and Infrastructure Security Agency (CISA) ha anche emesso un avviso affermando che il bug risulta

“ampiamente sfruttato da un numero crescente di attori delle minacce, rappresenta una sfida urgente per i difensori della rete dato il suo ampio utilizzo”.

L’agenzia ha suggerito alle organizzazioni di disabilitare i dispositivi rivolti all’esterno che eseguono Log4j e di installare una protezione firewall aggiuntiva con regole relative alla vulnerabilità.

La comunità open source si lamenta perché pagata poco

Questo bug di Log4j ha stabilito ancora una volta che le grandi aziende di tutto il mondo dipendono fortemente dal software open source gratuito e nello stesso momento la community open source è ora indignata del fatto che i contributori non ricevano abbastanza soldi per produrre software sicuro.

Filippo Valsorda, un crittografo di Google, ha notato sul suo blog personale che il manutentore che ha corretto il bug di Log4j ha contribuito part-time al progetto e aveva solo tre sponsor GitHub (un modo per le persone di pagare i volontari del progetto).

Ha notato che i contributori ottengono solo una piccola somma tramite GitHub o Patreon, mentre i loro progetti potrebbero essere responsabili di milioni di dollari di affari.

Inoltre, un bug su questi importanti sistemi può danneggiare Internet ed è ingiusto dipendere da persone che lavorano a questi progetti nel loro tempo libero senza ricompense assicurate.

Matthew Green, professore di crittografia alla Johns Hopkins University, ha affermato che l’industria ha bisogno di un elenco di librerie e tecnologie open source con una portata diffusa in modo che più persone possano lavorare su progetti importanti per far funzionare Internet senza problemi.

Il fondatore della società di sicurezza Chainguard, Dan Lorenc, ha affermato che mentre le aziende sono disposte a finanziare progetti open source, è difficile per loro scoprire progetti critici che necessitano di manutentori pagati. Ha anche notato che idealmente, l’industria dovrebbe finanziare team che mantengono da tre a quattro progetti.

I contributori hanno affermato che la loro retribuzione attraverso i contributi è super bassa, ed è davvero difficile mantenere le spese semplicemente facendo questo. Questa è una situazione triste di come stanno andando le cose.

Si spera che questo problema risvegli finalmente l’industria a prestare attenzione a riunirsi e contribuire a progetti open source che tengono a galla Internet. Ma forse potrebbero tornare a dormire se l’insetto non causa molti danni.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.