13.12.2021 - Alla fine della scorsa settimana è stata scoperta una vulnerabilità «zero-day» nella popolare biblioteca Java «Log4j». La falla di sicurezza è ritenuta molto critica, poiché moltissime applicazioni basate su Java utilizzano la biblioteca «Log4j». Inoltre, la vulnerabilità permette a un aggressore di eseguire da remoto qualsiasi codice («remote code execution», RCE). I cibercriminali stanno già sfruttando attivamente la falla per infettare i sistemi vulnerabili con malware. L’NCSC raccomanda di installare immediatamente le patch di sicurezza.
Lo scorso venerdì all’NCSC è stata segnalata una falla di sicurezza critica nella popolare biblioteca Java «Log4j». La biblioteca è ampiamente diffusa e utilizzata in molti prodotti software commerciali e open source.
La vulnerabilità (CVE-2021-44228 1) è critica, perché può essere sfruttata a distanza da un aggressore non autenticato per eseguire codici dannosi. La criticità ha ottenuto 10 punti su 10 nella scala di valutazione CVSS («common vulnerability scoring system»).
Installate rapidamente le patch di sicurezza
Molti offerenti utilizzano «Log4j» nei loro prodotti e stanno lavorando alacremente per rilasciare le patch necessarie a tappare la falla. Nelle ultime 48 ore molti fabbricanti hanno pubblicato gli aggiornamenti di sicurezza per i loro prodotti. Invitiamo le organizzazioni e le infrastrutture critiche nazionali a verificare urgentemente quali software utilizzano «Log4j» e a installare le relative patch il prima possibile. Se l’installazione delle patch non fosse possibile, raccomandiamo di adottare tutte le misure correttive possibili per evitare ulteriori danni.
Sono interessati anche i privati
Le imprese non sono le uniche a rischio. La biblioteca «Log4j» è presente anche in molti componenti di rete e di sistemi utilizzati in ambito privato. Pertanto, i privati dovrebbero tenere sempre aggiornati i loro sistemi (computer, tablet, smartphone, router WLAN, stampanti ecc.) installando regolarmente gli update e le patch disponibili.
Avvisi alle organizzazioni potenzialmente colpite
L’NCSC è in stretto contatto con i partner nazionali e internazionali a questo proposito. Sabato abbiamo iniziato a informare sulla vulnerabilità di «Log4j» le organizzazioni in Svizzera potenzialmente colpite raggiungibili via Internet. L’avviso è stato inviato anche a diverse infrastrutture critiche nazionali.
La vulnerabilità potrebbe essere sfruttata per sferrare attacchi mirati a infrastrutture critiche nazionali, ma finora l’NCSC non ha ricevuto segnalazioni in questo senso. I tentativi di sfruttamento osservati fino a questo momento puntavano alla diffusione di malware di massa come «Mirai», «Kinsing» e «Tsunami» (anche noto come «Muhstik»). Queste botnet sono usate in primo luogo per compiere attacchi DDoS (Mirai, Tsunami) o per creare criptovaluta (Kinsing).
Raccomandazioni e informazioni utili
L’NCSC ha pubblicato delle raccomandazioni per gli amministratori di sistema e l’elenco degli indicatori di compromissione («indicators of compromise», IOC) sul blog del GovCERT:
Ultima modifica 13.12.2021
