Le agenzie di sicurezza informatica di Australia, Canada, Nuova Zelanda, Stati Uniti e Regno Unito mercoledì hanno rilasciato un avviso congiunto in risposta allo sfruttamento diffuso di molteplici vulnerabilità nella libreria software Log4j di Apache da parte di avversari nefasti.
“Queste vulnerabilità, in particolare Log4Shell, sono gravi“, hanno detto le agenzie di intelligence nella nuova guida. “Gli attori sofisticati delle minacce informatiche stanno attivamente scansionando le reti per sfruttare potenzialmente Log4Shell, CVE-2021-45046 e CVE-2021-45105 nei sistemi vulnerabili. È probabile che queste vulnerabilità vengano sfruttate per un periodo prolungato“.
Un utente malintenzionato può sfruttare Log4Shell (CVE-2021-44228) inviando una richiesta appositamente elaborata ad un sistema vulnerabile che induce tale sistema ad eseguire codice arbitrario. CVE-2021-45046, d’altra parte, consente l’esecuzione di codice remoto in alcune configurazioni non predefinite, mentre CVE-2021-45105 potrebbe essere sfruttato da un utente remoto per causare una condizione di denial-of-service (DoS).
Da quando le vulnerabilità sono diventate di dominio pubblico questo mese, i server senza patch sono stati assediati da gruppi di ransomware agli hacker degli stati nazionali, che hanno utilizzato il vettore di attacco come un condotto per ottenere l’accesso alle reti per distribuire beacon Cobalt Strike, cryptominer e malware botnet.
La valutazione degli attacchi da parte dell’U.S. Federal Bureau of Investigation (FBI) ha anche sollevato la possibilità che gli attori della minaccia stiano incorporando le falle in “schemi criminali informatici esistenti che stanno cercando di adottare tecniche di offuscamento sempre più sofisticate”. Alla luce della gravità delle vulnerabilità e del probabile aumento dello sfruttamento, le organizzazioni sono state sollecitate a identificare, mitigare e aggiornare le risorse colpite il più presto possibile.
A tal fine, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha anche rilasciato una utility di scansione per identificare i sistemi vulnerabili alla vulnerabilità Log4Shell, rispecchiando uno strumento simile rilasciato dal CERT Coordination Center (CERT/CC).L’ultimo passo compiuto dai governi arriva mentre la Apache Software Foundation (ASF) ha rilasciato aggiornamenti per Apache HTTP Server 2.4.51 per affrontare due falle, la prima delle quali potrebbe essere armata da un attaccante remoto per eseguire codice arbitrario e prendere il controllo di un sistema interessato.
