27 dicembre 2021

In relazione alla scoperta a dicembre di pericolose vulnerabilità nella libreria di log Log4j 2 — CVE-2021-44228, CVE-2021-45046, CVE2021-4104 e CVE-2021-42550 — l'azienda Doctor Web richiama l'attenzione degli utenti sulla necessità di osservare le misure di sicurezza. La libreria viene utilizzata per la registrazione dei log in progetti in linguaggio Java e fa parte del progetto generale Apache Logging Project. Le vulnerabilità consentono ai malintenzionati di eseguire codice arbitrario sul sistema, causare la negazione del servizio o divulgare informazioni riservate. Nonostante che l'azienda Apache abbia già rilasciato diverse patch, le minacce ancora possono rappresentare un pericolo.

La vulnerabilità più critica Log4Shell (CVE-2021-44228) è basata sul fatto che alla registrazione nel log da parte della libreria Log4j 2 di messaggi formati in modo speciale, avviene una connessione a un server controllato dai malintenzionati con la successiva esecuzione di codice.

I cybercriminali distribuiscono attraverso le vulnerabilità miner —programmi malevoli per l'estrazione di criptovalute, backdoor per l'ottenimento dell'accesso remoto al dispositivo, nonché trojan DDoS studiati per effettuare attacchi DDoS.

Stiamo registrando attacchi con l'utilizzo di exploit per le vulnerabilità sopra indicate su uno dei nostri "honeypot" (in inglese "vasetto di miele") — un server speciale utilizzato dagli specialisti Doctor Web come esca per malintenzionati. La maggiore attività della minaccia veniva osservata nel periodo dal 17 al 20 dicembre, ma gli attacchi continuano ancora oggi.

Gli attacchi vengono lanciati da 72 indirizzi IP diversi. Se vediamo la distribuzione degli indirizzi IP per paese, il numero maggiore riguarda la Germania — 21%. È seguita dalla Russia con il 19,4%. Nella top tre rientrano anche gli USA e la China con il 9,7% ciascuno.

Alcuni progetti dipendono direttamente da Log4j 2, altri hanno una o più dipendenze implicite. Comunque sia, le vulnerabilità influenzano l'operatività di numerosi progetti in tutto il mondo. È necessario seguire con attenzione il rilascio degli aggiornamenti dei software che utilizzano la libreria Log4j 2 e installarli in modo tempestivo.

Non dimenticate inoltre di aggiornare regolarmente Dr.Web — i nostri prodotti rilevano con successo il payload dei software malevoli che si infiltrano su dispositivi attraverso le vulnerabilità Log4j 2.