Mandiant sta osservando attaccanti sponsorizzati dallo stato cinese e iraniano che sfruttano la vulnerabilità Log4jLog4j
, è una libreria presente nei sistemi di logging di una parte molto estesa di Internet, è utilizzata da numerosi software che erogano siti web, servizi cloud, piattaforme di sicurezza e videogiochi.
I log sono importanti per finalità di sicurezza, per attività di debug e per i processi di audit ed è quindi molto comune che una parte dei dati inseriti dagli utenti nei software sia visibile direttamente nei file di log. Questi due aspetti, uniti alla facilità nello sfruttamento di questa vulnerabilità, rendono secondo Mandiant la situazione molto seria.
Per sfruttare questa vulnerabilità gli attaccanti devono trovare il modo di inserire una stringa di testo in un file di log su un sistema vulnerabile. Una volta raggiunto questo obiettivo, gli impatti per la vittima potrebbero essere molto seri. L’attaccante, infatti, sarebbe così in grado di avere una prima macchina compromessa all’interno della rete della vittima, tale macchina poi potrebbe essere un sistema usato per finalità amministrative o potrebbe anche essere un apparato di sicurezza, la combinazione di queste possibilità può far innalzare ulteriormente il livello di severità del problema. In aggiunta, gli attaccanti possono accedere a “variabili d’ambiente” e leggerne il contenuto, potenzialmente potrebbero accedere anche alle password nel caso in cui siano state memorizzate nelle “variabili d’ambiente”.
“Per via del modo in cui questa libreria viene usata dai più diversi software, non è facile per un utente capire se il software che sta usando utilizza o meno questa libreria”,dichiara Nicholas Luedtke, Principal Analyst di Mandiant.“Se non si riesce a smarcare questo dubbio velocemente, diventa davvero difficile il poter applicare poi delle mitigazioni. Gli impatti relativi al possibile sfruttamento di questo problema variano a seconda di quale sia il sistema affetto e con quali privilegi viene scritto il file di log, in linea generale hanno spesso un alto grado di pericolosità”
“Abbiamo rilevato attaccanti sponsorizzati dallo stato cinese e iraniano che stanno sfruttando questa vulnerabilità e prevediamo che anche altri attaccanti state-sponsored lo stiano facendo o si stiano preparando per farlo”, dichiara John Hultquist, VP of Intelligence Analysis di Mandiant. “Riteniamo che questi aggressori lavoreranno rapidamente per ottenere dei punti di ingresso nelle reti delle vittime. In alcuni casi gli attaccanti lavorano su una lista ben precisa di vittime prescelte, che esisteva già prima che questa vulnerabilità fosse di dominio pubblico. In altri, le vittime su cui si focalizzeranno saranno selezionate solo dopo aver ottenuto il primo punto di ingresso. Quello che è certo è che gli aggressori iraniani che abbiamo associato a questa vulnerabilità sono spesso legati ad attività di spionaggio e ad attacchi distruttivi più che essere focalizzati ad ottenere un ritorno economico, ad esempio attraverso attacchi ransomware”.