17.12.2021 - Un nuovo procedimento per sfruttare la vulnerabilità «Log4j» permette a un aggressore di eseguire da remoto qualsiasi codice («remote code execution», RCE). I cibercriminali stanno già sfruttando attivamente la falla. Vista l'urgenza, l'NCSC raccomanda di installare immediatamente le patch di sicurezza.
Aggiornamento del 17 dicembre 2021
Dopo che il 14 dicembre 2021 è stata segnalata un'altra falla di sicurezza critica (CVE-2021-45046) nella libreria Java «Log4j», i cibercriminali hanno scoperto un nuovo procedimento per sfruttare questa vulnerabilità. La falla è classificata come critica perché permette l'esecuzione da remoto di qualsiasi codice («remote code execution», RCE). La patch 2.16.0 disponibile da questa settimana impedisce agli aggressori di applicare il nuovo procedimento. Vista l'urgenza, l'NCSC raccomanda quindi a chi non l'avesse ancora fatto di installare immediatamente le patch di sicurezza e aggiornare costantemente tutti i sistemi.
La vulnerabilità viene già sfruttata per sferrare attacchi mirati, ma l'NCSC non ha ancora ricevuto segnalazioni da parte di eventuali vittime.
Raccomandazioni per gli amministratori di sistema
L'NCSC aggiorna regolarmente le proprie raccomandazioni per gli amministratori di sistema e l'elenco degli indicatori di compromissione («indicators of compromise», IOC) sul blog del GovCERT.
L'Apache Foundation pubblica l’aggiornamento della segnalazione nella sua pagina Internet::
Raccomandazioni per i privati
Tenete aggiornati i vostri sistemi (computer, tablet, smartphone, router WLAN, stampanti ecc.) installando regolarmente gli update di tutti i componenti di sistemi.
Segnalazione del 13 dicembre 2021
Lo scorso venerdì all’NCSC è stata segnalata una falla di sicurezza critica nella popolare biblioteca Java «Log4j». La biblioteca è ampiamente diffusa e utilizzata in molti prodotti software commerciali e open source.
La vulnerabilità (CVE-2021-44228 1) è critica, perché può essere sfruttata a distanza da un aggressore non autenticato per eseguire codici dannosi. La criticità ha ottenuto 10 punti su 10 nella scala di valutazione CVSS («common vulnerability scoring system»).
Installate rapidamente le patch di sicurezza
Molti offerenti utilizzano «Log4j» nei loro prodotti e stanno lavorando alacremente per rilasciare le patch necessarie a tappare la falla. Nelle ultime 48 ore molti fabbricanti hanno pubblicato gli aggiornamenti di sicurezza per i loro prodotti. Invitiamo le organizzazioni e i gestori delle infrastrutture critiche nazionali a verificare urgentemente quali software utilizzano «Log4j» e a installare le relative patch il prima possibile. Se l’installazione delle patch non fosse possibile, raccomandiamo di adottare tutte le misure correttive possibili per evitare ulteriori danni.
Sono interessati anche i privati
Le imprese non sono le uniche a rischio. La biblioteca «Log4j» è presente anche in molti componenti di rete e di sistemi utilizzati in ambito privato. Pertanto, i privati dovrebbero tenere sempre aggiornati i loro sistemi (computer, tablet, smartphone, router WLAN, stampanti ecc.) installando regolarmente gli update e le patch disponibili.
Avvisi alle organizzazioni potenzialmente colpite
L’NCSC è in stretto contatto con i partner nazionali e internazionali a questo proposito. Sabato abbiamo iniziato a informare sulla vulnerabilità di «Log4j» le organizzazioni in Svizzera potenzialmente colpite raggiungibili via Internet. L’avviso è stato inviato anche a diverse infrastrutture critiche nazionali.
La vulnerabilità potrebbe essere sfruttata per sferrare attacchi mirati a infrastrutture critiche nazionali, ma finora l’NCSC non ha ricevuto segnalazioni in questo senso. I tentativi di sfruttamento osservati fino a questo momento puntavano alla diffusione di malware di massa come «Mirai», «Kinsing» e «Tsunami» (anche noto come «Muhstik»). Queste botnet sono usate in primo luogo per compiere attacchi DDoS (Mirai, Tsunami) o per creare criptovaluta (Kinsing).
Raccomandazioni e informazioni utili
L’NCSC ha pubblicato delle raccomandazioni per gli amministratori di sistema e l’elenco degli indicatori di compromissione («indicators of compromise», IOC) sul blog del GovCERT:
Ultima modifica 17.12.2021