Nell’ultimo periodo l’exploit Log4Shell e la vulnerabilità Log4j hanno coinvolto quasi tutte le applicazioni aziendali con Java: un evento che ha portato le società di sicurezza informatica di tutto il mondo ad approfondire questa scoperta, fare ricerca e diffondere metodologie di mitigazione del rischio.
Grazie a una corretta gestione, la nostra soluzione WAF/WAAP – servizio che protegge le applicazioni e le API di architetture IT o Software business critical – consente di rendere ogni attacco agli applicativi aziendali tramite il bug Lo4Shell inefficace.
La vulnerabilità Log4j
È di questi giorni l’update di sicurezza di emergenza rilasciato da Apache Software Foundation per correggere la vulnerabilità 0-day nella libreria java-based Log4j: un bug, denominato Log4Shell, che è subito stato classificato con 10 punti su 10 nella scala di valutazione della vulnerabilità CVSS.
La vulnerabilità risiede nel modulo di messaggistica e consente l’esecuzione di codice arbitrario da remoto sul server che utilizza la libreria portando alla completa compromissione dello stesso senza necessità di autenticazione. (CSIRT)
Le versioni affette vanno dalle 2.0-beta-0 alla 2.14.1.
Log4Shell è stato dichiarato il security bug peggiore del decennio: sempre più criminali informatici si affrettano a sfruttarlo e le aziende devono muoversi velocemente per mitigare e difendersi da questa minaccia.
Il Computer Security Incident Response Team (CSIRT) italiano – controllato dall’Agenzia per la Cybersicurezza Nazionale – ha pubblicato un’analisi metodologica contenente i suggerimenti attualmente noti sulle tecniche di mitigazione; anche i Computer Emergency Response Team (CERT) di altri Paesi sono attivi nella ricerca.
Proteggersi con le soluzioni WAF e WAAP
Log4Shell ha portato l’interno mondo IT a soffermarsi a ragionare ancora di più su quelli che sono gli strumenti da mettere in campo per avere un buon livello di protezione davanti ai nostri applicativi.
Le soluzioni di Web Application Firewall e Web Application and API Protection (WAF/WAAP), che Intesys Networking offre ai propri clienti si basano sulla rilevazione delle metodologie di attacco basate sulla OWASP top 10, tra le quali non figura la metodologia Log4Shell: nonostante non fossero in grado di bloccare la richiesta malevola immediatamente, i nostri sistemi riuscivano a identificare come Log4Shell veniva sfruttato, bloccando le richieste successive.
Log4Shell viene sfruttato per effettuare attacchi di tipo “Remote Command Execution”, che sono correttamente identificati e bloccati dai nostri sistemi WAF/WAAP.
Questo ha comportato una “protezione indiretta”, ma di fatto efficace, dei nostri clienti. Subito dopo la diffusione delle notizie di Log4Shell siamo stati in grado di scrivere una regola ad hoc per bloccare anche questi attacchi e che poi è stata affinata nei giorni successivi dall’intera comunità che si occupa di security, portando i sistemi WAF/WAAP a livello di “protezione attiva”.
Bloccare proattivamente le minacce cyber
I nostri sistemi WAF/WAAP si differenziano notevolmente rispetto ai Next Generation Firewall (che offrono funzionalità simili ai WAF): basandosi questi ultimi sull’identificazione di firme, lasciavano potenzialmente scoperti fino al rilascio della patch da parte del vendor che applica l’identificazione del CVE.
Da qui la corsa al patching immediato, con interi team IT al lavoro giorno e notte per applicare i fix a quanti più sistemi nel minor tempo possibile.
Una buona strategia di sicurezza non può fare affidamento su un unico strumento che, per quanto buono sia, ha i suoi punti di forza e le sue idiosincrasie.
Le soluzioni di WAF/WAAP di Intesys Networking, strumenti basati sull’identificazione e blocco proattivo delle metodologie di attacco, sono il primo bastione di difesa e sono particolarmente efficaci contro bug 0-days, dato che non si basano sull’identificazione di una particolare “firma” della vulnerabilità.
Affiancare ai nostri sistemi un Next Generation Firewall correttamente gestito e aggiornato, insieme al costante aggiornamento dei sistemi con tutte le security fix sempre applicate, riduce notevolmente la superfice d’attacco e fornisce un’ulteriore garanzia della continuità del proprio business.