A dicembre 2021, l’annuncio della vulnerabilità di Log4j è diventato un campanello d’allarme per i fornitori di software di tutto il mondo.

Dopo l’annuncio è partita la caccia alle streghe, anzi al componente log4j ma a che punto siamo?

Sottovalutare questo potrebbe portare a risultati devastanti. Molti dicono che l’impatto di Log4j potrebbe essere ancora più grave del famoso hack di Equifax del 2017.

 

log4j_1.png

 

Cos’è la vulnerabilità di Log4j? 

log4jCVE.png

Il 9 dicembre sono usciti i primi annunci: CVE-2021-4228, un componente utilizzato in numerose applicazioni per il login e registrazione degli utenti. Frameworks popolari come Apache includono Log4j, rendendolo onnipresente nelle principali applicazioni. CBS News ha dichiarato “La lista delle potenziali vittime comprende quasi un terzo di tutti i server web del mondo”.

Secondo Sonatype, “questa vulnerabilità è particolarmente critica perché molto semplice da sfruttare: permette infatti al potenziale hacker di eseguire codice arbitrario su qualsiasi applicazione vulnerabile e utilizzare questa possibilità per sferrare un attacco”.

Una delle prime organizzazioni a scoprire la vulnerabilità di Log4j è stato il popolare gioco online Minecraft. Log4j era usato per registrare i messaggi in chat all’interno del gioco, per cui la vulnerabilità significava che chiunque all’interno di un server pubblico di Minecraft poteva attaccare gli altri all’interno del server, semplicemente digitando i comandi nella chat.

E adesso?

Ora che il mondo sa della vulnerabilità di log4j, le aziende continuano a lavorare sulle patch delle loro applicazioni per garantire che i loro utenti siano al sicuro da questa catastrofica falla di sicurezza. 

Per aumentare la consapevolezza di tutti, la Federal Trade Commission ha rilasciato un severo annuncio il 4 gennaio: “La FTC intende utilizzare la sua piena autorità legale per perseguire le aziende che non riescono a prendere misure ragionevoli per proteggere i dati dei consumatori dall’esposizione di Log4j, o simili vulnerabilità note in futuro.” 

Mentre le grandi imprese iniziano a rilasciare patch e i titoli dei giornali iniziano gradualmente a calare il sipario sull’argomento, iniziamo a tirare un sospiro di sollievo. Tuttavia, è necessario uscire da questa situazione con una migliore consapevolezza su come evitare che qualcosa di simile accada di nuovo.

Lesson learned

Una delle più importanti lezioni della vulnerabilità di Log4j: le imprese devono sapere cosa c’è dentro il loro software per mantenere se stessi e i loro clienti al sicuro. 

Sergio Caltagirone, vice presidente della threat intelligence della società di cybersecurity Dragos, è stato intervistato da CBS News e ha fatto questa analogia: “la gente è in grado di dire: ‘Sono allergico alle noccioline? Questo contiene noccioline?”. Ora dobbiamo essere in grado di dire, ‘Questa vulnerabilità log4j è nota. Ho questa nel mio ambiente?”.

Ma, che aspetto ha una lista di ingredienti di un’applicazione? Si tratta in pratica di creare una distinta base dei materiali del software (SBOM). Una SBOM elenca tutti i nomi dei componenti, le informazioni di licenza, le versioni e i fornitori all’interno di ogni applicazione aziendale. 

La SBOM permette alle organizzazioni di rispondere rapidamente alle domande in situazioni critiche. In pochi minuti, un’azienda con una SBOM può rintracciare i componenti vulnerabili noti e prendere decisioni adeguate per salvaguardare quelle aree specifiche delle loro applicazioni. Non solo una SBOM funziona in una situazione estrema come Log4j, ma rende anche più efficiente e semplice per i team di sviluppo correggere altre vulnerabilità durante lo sviluppo applicativo quotidiano. 

Ma qual è il passo successivo nella costruzione della vostra SBOM? Emerasoft, partner di Sonatype fornisce soluzioni a copertura di tutti gli aspetti della Software Composition Analysis. costruisci ora la SBOM di una tua applicazione.

 

Tags