Log4j Vulnerabilità: Cosa fare

Autore: Ale Agostini

Quando escono vulnerabilità informatiche, spesso chi fa marketing pensa di non esserne intaccato in alcun modo. In realtà ci sono casi come Log4j che possono impattare sulla sicurezza del sito web, dell’App e delle applicazioni sottostanti e quindi sulle attività di digital marketing.

Ecco cosa devi fare se gestisci le proprietà digitali di un brand o sei responsabile di un cloud o infrastuttura IT.

Cos’è Log4J

Log4J è una libreria open source molto utilizzata dai server che usano il Web Server Apache o altri prodotti della Apache Foundation, come Apache Flume, Apache Solr, etc.

Questa libreria, sebbene semplice e datata in termini anagrafici, è presente in moltissimi Web Server Apache che hanno la funzione di registrazione, sia ad uso app che servizi web.

La registrazione (log in) è un processo in cui le applicazioni mantengono un elenco aggiornato delle attività eseguite, che possono essere successivamente riviste in caso di errore. Quasi tutti i sistemi di sicurezza di rete eseguono un qualche tipo di processo di registrazione, quindi librerie popolari come Log4j sono molto diffuse.

Dal 10 dicembre 2021 è stato reso noto che un difetto di sicurezza della libreria Log4j viene sfruttato dagli hacker per danneggiare i server che la utilizzano.

Questa vulnerabilità (codificata come “Apache Log4J CVE-2021-44228”) è classificata del grado più alto ( 10/10 CVSS) e consente l’esecuzione (anche in modo “facile”) di codice in modalità remota su server vulnerabili, offrendo a un attaccante / hacker malintenzionato la possibilità di importare malware e compromettere il funzionamento della macchina.

Dove è usato Log4j

Log4J è una libreria open source molto usata: tra gli utilizzatori troviamo ad esempio i server di Minecraft, per citare forse uno dei primi casi coinvolti nel difetto di sicurezza.

Subito dopo si è capito che questa vulnerabilità non era solo un exploit di Minecraft, in quanto la questione è legata appunto a Log4j.

Java è un linguaggio di programmazione che non viene utilizzato solo in app – come Steam e Spotify – ma anche dai sistemi di aziende come Amazon, Microsoft, Cloudflare e altre. In termini di vastità della questione è simile al caso Solarwind.

La nuova vulnerabilità colpisce la libreria ampiamente utilizzata Log4j creata da Apache, funziona su tutti i programmi che utilizzano la libreria Log4j. Fortunatamente, le versioni JDK successive a 6u211, 7u201, 8u191 e 11.0.1 non sono interessate dal vettore di attacco principale sfruttato in questo momento. È comunque necessario correggerlo a prescindere, poiché può essere facilmente utilizzato anche con altri vettori di attacco. Questo exploit mette in evidenza il motivo per cui è importante conservare una “mappatura completa dei software diretti e indiretti (che va sotto l’acronimo SBOM che fondamentalmente è un elenco di tutto il software sui sistemi), da dove proviene e di cosa è fatto. In futuro, questa conoscenza può aiutarti a correggere rapidamente attacchi come questo.

Un post sul blog della società di sicurezza Luna Sec ha affermato che all’interno della piattaforma di gioco Steam e iCloud di Apple erano già state trovate queste vulnerabilità. Anche il tweet della società di analisi della sicurezza GreyNoise riferisce numerosi server che cercano su Internet macchine vulnerabili all’exploit.

Cosa deve fare il marketing?

Cosa deve fare il marketing per evitare che i canali digital del brand siano colpiti dalla vulnerabilità?

1. Verifica la presenza di Log4J (nelle versioni 2.0 e 2.14.1) nei tuoi server front e back end

In primis dovrai verificare su tutti i server che ospitano i siti web e App del brand se questa libreria è utilizzata. Se sei un marketer con un’ottima conoscente dei componenti diretti e indiretti della tua infrastruttura e accedi in modalità ADMIN ai tuoi server potresti saperlo in autonomia. Uno dei più facili da usare è il semplice script bash, che può scansionare i tuoi pacchetti e identificare le versioni di log4j, e può anche dirti se il tuo sistema sta usando Java in primo luogo. Nella maggior parte dei casi, meglio più scansioni con script diversi, perché non è garantito che nessuno di questi sarà efficace al 100% nell’identificare la vulnerabilità.

Se invece non sei un tecnico / Admin, ti consigliamo di chiedere oggi al tuo amministratore di sistema o a chi gestisce i web server di darti conto scritto della presenza o assenza di Log4j sulle macchine che ti riguardano. Qualche consiglio anche per gli addetti ai lavori: Uno dei più facili modi e lanciare il semplice script bash, che può scansionare i tuoi pacchetti e identificare le versioni di log4j, e può anche dirti se il tuo sistema sta usando Java in primo luogo. Nella maggior parte dei casi, meglio più scansioni con script diversi, perché non è garantito che nessuno di questi sarà efficace al 100% nell’identificare la vulnerabilità.

2. Patch della Vulnerabilità Log4j

Se scopri che i tuoi server usano Log4j, richiedi subito la sistemazione della “vulnerability” con la patch. In questa pagina l’autorità Elvetica della cyber security dà specifici consigli su come fare la patch.

La buona notizia è che la riparazione di questa libreria singolarmente presa è abbastanza semplice e questo vi permetterà di norma di risolvere al volo.

Aggiornamenti Vulnerabilità Log 4 J

Mentre la Cybersecurity and Infrastructure Security Agency (CISA) ha annunciato il rilascio di uno scanner per identificare i servizi Web interessati dalle vulnerabilità di esecuzione di codice remoto Apache Log4j ( CVE-2021-44228 e CVE-2021-45046), la domanda è cosa hanno dichiarato le principali piattaforme online sulla vulnerabilità Log 4 J? Sono state compromesse? Abbiamo raccolto alcune informazioni utili:

• Adobe: Adobe ha stabilito che ColdFusion 2021 è vulnerabile a Log4Shell e ha rilasciato un aggiornamento il 14 dicembre 2021. È disponibile una soluzione alternativa se non è possibile applicare immediatamente le patch.
• Amazon: ha aggiornato molti dei suoi prodotti per utilizzare una versione non vulnerabile del componente Log4j e ha annunciato che sta aggiornando gli altri o rilascerà a breve nuove versioni. La società ha pubblicato dettagli specifici per i servizi interessati, tra cui OpenSearch, AWS Glue, S3, CloudFront, AWS Greengrass e API Gateway.

• CISCO: I prodotti interessati appartengono a varie categorie, tra cui I dispositivi di sicurezza della rete e dei contenuti (Identity Services Engine, Firepower Threat Defense, Advanced Web Security Reporting Application), collaborazione e social media (Cisco Webex Meetings Server), Routing e switching aziendali (Cisco Network Assurance Engine e Cisco SD-WAN vManage)
• Google Ads: Google dichiara che non ci sono impatti
• Google Workspace: Google sta indagando
• Zoho: la piattaforma dichiara che non ci sono impatti
• Register: il servizio clienti dichiara che Cpanel è sicuro
• Red Hat : I componenti di più prodotti Red Hat ( Red Hat OpenShift 4 and 3.11, OpenShift Logging, OpenStack Platform 13, CodeReady Studio 12, Data Grid 8, and Red Hat Fuse 7) sono interessati da Log4Shell, l’organizzazione ha rivelato venerdì, raccomandando vivamente ai clienti di applicare gli aggiornamenti non appena diventano disponibili.
• NVIDIA: ha rilasciato un avviso di sicurezza che descrive in dettaglio quali prodotti sono interessati dalla vulnerabilità Log4Shell. Ecco i principali: GeForce Experience client software, GeForceNOW client software, GPU Display Drivers for Windows, L4T Jetson Products, SHIELD TV
• Screamingfrog Spider: è necessario aggiornare il programma alla versione 16.4
• Solar Wind: 2 prodotti dell’azienda utilizzano una versione vulnerabile di Apache Log4j: Server & Application Monitor (SAM) e Database Performance Analyzer (DPA).
• SEMRush: lo strumento di marketing ha subito un impatto e sta lavorando per mettere in sicurezza l’infrastruttura.

Per aumentare ancora di più la sicurezza della tua attività online, ti consigliamo di aggiornare Google Chrome alla versione 96.0.4664.110. Per controllare qual è la versione di Chrome che stai utilizzando, segui il percorso segnalato qui sotto: