Nel dicembre 2020 è stata segnalata una serie di violazioni della rete in rapida successione che ha preannunciato l’inizio di quello che ben presto sarebbe divenuto l’attacco che ha cambiato tutto. Compromettendo le identità e abusando dei privilegi per approfittare di un aggiornamento software di routine, i cybercriminali dietro l’attacco SolarWinds si sono introdotti in più di 18.000 organizzazioni, mostrando al mondo quanto possa essere devastante un attacco alla supply chain. Più o meno un anno dopo, il mondo affronta una nuova minaccia potenzialmente di uguale proporzione o anche maggiore: la vulnerabilità Log4j che sta mettendo a rischio “centinaia di milioni di dispositivi”, secondo i funzionari della CISA statunitense.
Ecco tutte le informazioni utili su Log4j e sei best practice di Identity Security che ogni organizzazione dovrebbe seguire per ridurre i rischi di intrusione.
I dettagli su Log4j: cosa c’è da sapere sullo Zero Day
Il 10 dicembre 2021, è stata pubblicata una vulnerabilità critica all’interno di una libreria di sviluppo software open-source molto utilizzata, denominata Log4j (o anche “Log4Shell”) in CVE-2021-44228. Colpendo le versioni di Log4j da 2.0-beta9 a 2.14.1, la falla ha il potenziale per causare l’esfiltrazione di dati e/o l’esecuzione di codice remoto sui server che utilizzano questo componente per la loro funzionalità di registrazione.
Log4Shell ha rapidamente guadagnato l’attenzione globale con un impatto di enorme portata. Il software open source Log4j è onnipresente, utilizzato direttamente o indirettamente (tramite codici di terze parti) nelle applicazioni consumer e nei servizi aziendali più popolari del mondo. Al suo interno esiste una vulnerabilità RCE (Remote Code Execution) che, se non accuratamente controllata, può permettere ad un cybercriminale di inserire un codice Java arbitrario e prendere il controllo di un server target.
Secondo quanto riferito, gli attaccanti hanno iniziato a sfruttare questa vulnerabilità all’inizio di dicembre 2021 (anche se è stata inserita nel codice a luglio 2017) e hanno intensificato gli attacchi dopo la pubblicazione del CVE – che includono quelli di noti gruppi di ransomware.
Sei best practice di sicurezza delle identità per ridurre il rischio di Log4Shell
Ci sono molti modi in cui i cybercriminali possono sfruttare la vulnerabilità Log4j per scopi criminali. E, se non c’è un solo fornitore o strumento che possa prevenire completamente ogni tentativo di esecuzione del codice arbitrario, questi sono i passi che le organizzazioni possono seguire per proteggere le identità, assicurare l’accesso privilegiato e minimizzare i rischi di intrusione:
- Applicare le patch. Se non è ancora stato fatto, prendere misure immediate per applicare l’aggiornamento software già rilasciato da Apache a Log4j. Inoltre, rivedere le raccomandazioni del fornitore e gli aggiornamenti per tutte le piattaforme software in uso, insieme a qualsiasi sistema operativo sottostante e integrazioni aziendali. Controllate tutti i fornitori indipendenti per assicurare che abbiano patchato il software utilizzato.
- Implementare difese periferiche. Applicare le regole del web application firewall (WAF) per minimizzare i comuni tentativi di sfruttamento come parte di una completa strategia di difesa.
- Proteggere le credenziali all’interno dei server. Limitare l’accesso alle variabili d’ambiente e alle credenziali locali memorizzate nelle pipeline CI/CD per minimizzare i rischi immediati posti dai cybercriminali. Se un’applicazione richiede che dei dati segreti siano consegnati in una variabile d’ambiente, utilizzare un gestore di sicurezza per garantire l’accesso solo gli utenti autenticati.
- Proteggere le risorse di livello 0. Consentite l’accesso privilegiato solo a specifici host per limitare l’accesso alle risorse Tier 0 come Active Directory e chi si occupa di workflow DevOps. Questo renderà esponenzialmente più difficile per un attaccante raggiungere una compromissione completa della rete.
- Implementare il minimo privilegio sia per i servizi che per gli utenti. Si tratta di un passo fondamentale per mitigare il rischio di un attacco mirato. Limitare l’accesso al livello minimo necessario – e toglierlo non appena non più necessario – può rallentare o fermare il progresso di un’intrusione, impedendo il movimento laterale e riducendo al minimo l’impatto complessivo.
- Abilitare l’autenticazione a più fattori (MFA) quando possibile. I cybercriminali hanno molte più probabilità di successo quando non devono fornire un secondo fattore di autenticazione o un altro step di approvazione per inserire il loro codice.
