Gli esperti di sicurezza del CSIRT italiano hanno rilevato numerose attività malevole volte allo sfruttamento della vulnerabilità in riferimento alla distribuzione di payload malevoli.
Il Computer Security Incident Response Team – Italia, guidato dall’Agenzia per la Cybersicurezza Nazionale lancia un nuovo allarme riguardante la vulnerabilità nota col nome Log4Shell, che interessa applicazioni Java-based che utilizzano per il logging il prodotto open source Log4j 2, sviluppato da Apache, dalla versione 2.0 fino alla 2.14.1.
Gli esperti di sicurezza del team italiano hanno rilevato numerose attività malevole volte allo sfruttamento della vulnerabilità in riferimento alla distribuzione di payload malevoli.
“La catena di attacco prevede una prima attività di scansione finalizzata all’individuazione dei server vulnerabili tramite URL o richieste DNS verso domini di callback opportunamente predisposti“, spiega una nota del CSIRT. “Nel dettaglio è stato rilevato che numerosi attori criminali hanno iniziato a sfruttare attivamente la vulnerabilità per distribuire codice malevolo sui sistemi target come ad esempio la backdoor Kinsing, beacon CobalStrike o payload relativi alle botnet Mirai e Muhstik o miner XMRig per estrarre criptovaluta Monero. Non si esclude – si legge nella nota – che la tecnica di diffusione utilizzata potrebbe in futuro essere utilizzata per veicolare attacchi ransomware”.
Oltre a utilizzare Log4Shell per la diffusione di malware, le attività osservate potrebbero essere finalizzate ad individuare dispositivi e sistemi target vulnerabili al fine di condurre successivi attacchi di tipo Denial-of-Service su larga scala o per esfiltrare informazioni sensibili quali credenziali o configurazioni archiviate in file e variabili d’ambiente, tra cui nome host, utente con cui viene eseguito il servizio Log4j, tipo e versione del sistema operativo.
Prodotti affetti
La società di software VMware ha recentemente confermato tentativi di sfruttamento a danno di alcuni prodotti per i quali, tramite l’accesso di rete, è possibile sfruttare la vulnerabilità per ottenere il pieno controllo del sistema. Per questo motivo, dal momento che diversi vendor stanno verificando l’impatto della vulnerabilità sui propri prodotti, il CSIRT consiglia di monitorare la lista dei software interessati, in fase di continuo aggiornamento, a questo link.
Come mitigare i rischi
L’Acn ha subito consigliato di implementare le azioni di mitigazione elencate nell’apposita sezione del sito dello CSIRT Italia. Raccomanda inoltre di valutare l’implementazione sui propri apparati di sicurezza degli IoC disponibili tramite la seguente risorsa messa a disposizione dal National Cyber Security Centre olandese:
lo stesso centro, per le attività di rilevamento e mitigazione, ha reso disponibile le risorse ai seguenti link: