Qualys, azienda specializzata nella fornitura di soluzioni IT, di sicurezza e conformità basate su cloud, presenta i dati di uno studio che rivela come le organizzazioni abbiano risposto ad oggi agli attacchi Log4J causati dalle vulnerabilità Log4Shell.
Contesto
Il 9 dicembre 2021, una vulnerabilità critica zero-day che colpisce la libreria Log4j2 di Apache, un’utilità di registrazione basata su Java, è stata rivelata al mondo. Questo non era un annuncio da poco. Come terzo linguaggio informatico più usato, Java è praticamente onnipresente. La sua libreria Log4j2 è estremamente popolare. Miliardi di dispositivi in tutto il mondo attualmente eseguono Java. La maggior parte delle imprese ne hanno probabilmente più versioni in esecuzione nei loro sistemi informatici.
A questa nuova debolezza scoperta in Java fu presto dato un nome: Log4Shell. Nella hall of fame della cybersecurity – una che include exploit del passato pesanti come HeartBleed, WannaCry e ShellShock, Log4Shell si è dimostrato avere un profilo a sé. Difficile da localizzare ma facile da sfruttare, era chiaro che questa vulnerabilità avrebbe avuto un impatto massiccio in quasi tutti i settori, colpendoli solo due settimane prima delle vacanze.
L’industria della Sicurezza Informatica Entra in Azione
Non c’è voluto molto tempo perché questa vulnerabilità critica di Java fosse sfruttata in natura. Quasi 1 milione di tentativi di attacchi Log4J sono stati lanciati in sole 72 ore dopo la divulgazione della vulnerabilità Log4Shell.
Non c’era tempo da perdere. Ai cattivi non importava che fosse la stagione delle vacanze. Con molte aziende che si preparano ad operare con personale IT ridotto all’osso durante le ultime due settimane del 2021, gli hacker e gli attaccanti hanno visto un’opportunità. La corsa era iniziata.
Qualys è stato tra i primi operatori del settore ad analizzare la minaccia portata dagli attacchi Log4J e a sviluppare contromisure efficaci per mitigare la nuova pericolosa vulnerabilità.
Qualys ha inoltre indicizzato più di 10 trilioni di datapoint nella sua base di clienti aziendali installati e completato 6 miliardi di scansioni IP all’anno con 75 milioni di agenti cloud distribuiti in ambienti IT ibridi a livello globale.
Risposta dell’IT aziendale a Log4Shell, in base ai numeri
Il Team di Ricerca Qualys ha analizzato i dati di sicurezza anonimizzati sulle reti delle imprese globali utilizzando la Qualys Cloud Platform. Esaminando come e dove la libreria Log4j2 è stata implementata nelle organizzazioni di tutto il mondo, Qualys è stata in grado di fornire le seguenti informazioni sull’impatto di Log4Shell entro un mese dalla sua divulgazione.
Ecco una finestra su come le imprese del mondo hanno risposto.
Esposizione di Log4Shell
Qualys Cloud Platform ha analizzato più di 150 milioni risorse IT, in tutte le aree geografiche, segnalando 22 milioni di installazioni di app vulnerabili. Di queste, più dell’80% erano applicazioni open source.
Log4Shell è stato rilevato in più di 3 milioni di istanze vulnerabili.
Più di due mesi dopo, il 30% delle istanze Log4j rimane vulnerabile agli exploit.
Paesaggio delle minacce di Log4Shell
Quasi 68.000 vulnerabilità sono state trovate nei carichi di lavoro del cloud e nei container negli Stati Uniti e in EMEA, rafforzando la raccomandazione che le imprese devono monitorare i container in esecuzione per falle come Log4Shell per prevenire gli attacchi Log4J.
CISA e NCSC hanno segnalato 1.495 prodotti vulnerabili a Log4Shell, e di questi Qualys ne ha osservati 1.065 attraverso 52 editori attualmente in uso. Questa indicizzazione si è rivelata molto preziosa per i clienti Qualys in quanto questa mappatura SBOM viene fornita out-of-the-box, fornendo intuizioni immediate sul loro inventario di software vulnerabile.
Sorprendentemente, più del 50% delle installazioni di applicazioni con Log4j sono state segnalate come “end-of-support“. Ciò significa che questi editori probabilmente NON forniranno patch di sicurezza Log4Shell per queste applicazioni.
La vulnerabilità è stata rilevata in più di 2.800 applicazioni web. Poiché le applicazioni web sono rivolte al pubblico, questa era la prima linea di difesa per molte imprese che cercavano di respingere i primi attacchi. Negli Stati Uniti, la maggior parte dei rilevamenti si è verificata prima/durante il periodo di vacanza, mentre nell’Unione Europea questi hanno avuto un picco dopo le vacanze.
Tendenze di vulnerabilità
La stragrande maggioranza delle risorse vulnerabili (oltre l’80%) erano su Linux.
Sono state osservate 98 diverse versioni di Log4j in uso, il 55% delle quali erano versioni vulnerabili.
C’è stato un picco del 20% nei rilevamenti con l’arrivo del nuovo anno e il ritorno al lavoro dei dipendenti.
Entro il primo mese dalla divulgazione di Log4Shell, Qualys ha osservato dallo studio degli attacchi che, il 12% delle installazioni totali di Log4j erano vulnerabili, mentre solo il 5% non lo erano.
Tendenze di riparazione
Il tempo medio di rimedio dopo il rilevamento è stato di 17 giorni. I sistemi che potevano essere sfruttati da remoto sono stati riparati più velocemente (12 giorni), mentre i sistemi interni sono stati più lenti.
Dopo il primo mese, gli sforzi di riparazione si sono stabilizzati e hanno iniziato a diminuire, molto probabilmente perché i team di sicurezza stanno trovando più facile mitigare Log4Shell piuttosto che risolverlo definitivamente.
Modelli di attacco
Il team di ricerca di threat intelligence di Qualys ha osservato tentativi di attacchi ransomware da parte di Conti, Khonsari, e avversari sostenuti dallo stato nazionale basati su Log4Shell, come riportato da VentureBeat.
La soluzione EDR Multi-Vector di Qualys ha rilevato 22.000 attacchi Log4J potenziali a settimana al culmine della crisi. Molti di questi erano attacchi sparsi “spray & pray” che cercavano di infettare il maggior numero possibile di sistemi in tempi brevi. I dati indicano che gli attori delle minacce stavano cercando di approfittare della finestra di opportunità delle vacanze.
Gli attacchi Log4J hanno anche registrato una tendenza al ribasso nel mese di gennaio, quando i team IT aziendali hanno introdotto controlli di mitigazione e patch.
Nel giro di 24 ore, il Team di Ricerca Qualys ha pubblicato i suoi risultati e ha lanciato un centro risorse Log4Shell per tenere aggiornato il settore. Ha rilasciato oltre 70 rilevamenti di vulnerabilità, continuando a rilasciarne altri man mano che i fornitori rilasciavano le patch per le loro vulnerabilità. Ha anche ospitato una serie di webcast per clienti e non clienti sui passi raccomandati per il rimedio.
Data l’ubiquità di Log4Shell, si è resi conto che avere più imprese che lo rilevano più velocemente avrebbe beneficiato l’intera comunità di cybersecurity. Con questo in mente, Qualys ha sviluppato una nuova utility di scansione open source Log4j per far risparmiare tempo prezioso ai team di sicurezza. Per aiutare le imprese a rilevare e correggere rapidamente queste vulnerabilità, ha offerto un accesso gratuito alla sua piattaforma unificata di sicurezza e conformità per 30 giorni.
Conclusioni
Fortunatamente, vulnerabilità critiche come quelle di Log4Shell sono un evento raro. Tuttavia, la scoperta futura di un’altra debolezza altrettanto grave (o peggiore) è inevitabile. Ecco perché a tutte le imprese, grandi e piccole, si consiglia di investire in una soluzione di piattaforma best-in-class che possa aiutare le operazioni di sicurezza, la gestione delle risorse IT, il rilevamento delle vulnerabilità e la risposta, la sicurezza del cloud, EDR/XDR e la protezione delle app web.
I CxO dovrebbero assicurarsi che i loro team di sicurezza e IT Ops abbiano una visione unificata della risk posture dell’organizzazione, per farsi trovare pronti per i prossimi attacchi simili, uguali, se non peggio, ai Log4J.
