Responsible disclosure e bug software: il caso Log4Shell

Il caso Log4Shell ha generato molto panico in rete, sicuramente perché si tratta di una vulnerabilità di severità critica, facilmente sfruttabile e che affligge un componente molto utilizzato. Sarebbe stato possibile evitare parte dei danni utilizzando una public disclosure più responsabile? Lo abbiamo chiesto a Luca Ercoli, Security Specialist Seeweb
Indice dei contenuti

E’ il tema caldo del momento, tanto da essere assimilata a una “apocalisse” informatica, e sembra che interesserà anche i prossimi mesi condizionando e compromettendo la sicurezza di Internet.

Parliamo di Log4Shell, la vulnerabilità individuata in Log4J, la libreria per il logging più usata in assoluto dai programmatori Java.

Cosa ha reso Log4Shell una vera minaccia

«Il problema sostanziale di Log4Shell è molto chiaro: è una vulnerabilità capace di minare l’integrità dei dati del sistema attaccato, è facile da sfruttare e affligge un componente molto utilizzato in rete», spiega Luca Ercoli, esperto di sicurezza in Seeweb.

Le app che utilizzano le funzioni di Log4J per fare logging e registrare eventuali messaggi di errore sono infatti tantissime (ci sono anche Facebook, Tesla, Twitter etc) e, vista l’estrema popolarità di Log4J, il punto non è solo applicare patch di sicurezza, ma farlo rapidamente sulla miriade di infrastrutture coinvolte.

La comunicazione del bug su Log4J

Come riporta Ars Technica, la vulnerabilità è stata scoperta su una serie di server dedicati al popolare gioco Minecraft. Tuttavia, prove del bug sono state comunicate anche via social – pare che il ricercatore abbia twittato una “dimostrazione” della vulnerabilità – prima ancora che gran parte degli utilizzatori della libreria vulnerabile avessero adottato tutte le possibili misure di mitigazione del rischio.

“Soprattutto nei casi di vulnerabilità severe, una responsible disclosure prevede che agli sviluppatori venga lasciato il tempo utile a installare patch e procedere a tutti gli aggiornamenti necessari”

Luca Ercoli, Security Specialist Seeweb

Di qui, l’importanza di utilizzare gli strumenti più corretti per informare: «Per prima cosa il ricercatore dovrebbe contattare in forma privata il responsabile del software, dettagliando la vulnerabilità e fornendo tempo sufficiente a rilasciare una patch e tutti gli aggiornamenti del caso. Nei casi in cui la vulnerabilità ha un impatto di severità alto, come in questo, una comunicazione pubblica responsabile potrebbe ammettere anche un ritardo per consentire del tempo per l’installazione delle patch. Già dal 2 dicembre, più di una settimana prima che la vulnerabilità fosse ampiamente nota, in rete venivano eseguiti attacchi che sfruttavano quella falla» continua Luca Ercoli. «Diversamente, c’è il rischio di creare il panico e nel frattempo di esporre la rete ad attacchi di ogni tipo. Questo è un approccio che abbiamo utilizzato con successo, per esempio, quando abbiamo individuato una falla su Juniper Web che, dopo aver effettuato i dovuti fixing, ha condiviso pubblicamente  il relativo report».

Come difendersi meglio dai bug software

Quanto accaduto con il bug sulla libreria Apache conferma ancora una volta come anche sistemi e software popolari e scelti dalle più grandi aziende siano vulnerabili e sfruttabili con facilità da qualsiasi attacker.

C’è da tenere presente inoltre che esistono certamente vulnerabilità non note pubblicamente ma sfruttate da cerchie ristrette di hacker malevoli, quindi utilizzare gli strumenti tecnologici più adeguati è il primo passo da fare: le tue applicazioni web (e non solo quelle mission-critical e business-critical) sono potenzialmente esposte a diverse minacce.

Per evitare che vengano utilizzate come vettori di attacchi è importante adottare misure su più livelli, e una di queste è Web Application Firewall. Analizzando le singole richieste HTTP, il WAF è l’ideale per combattere vulnerabilità note e non.

Oltre a servizi di questo tipo, è essenziale affidarsi a un provider di servizi che possa offrire il giusto supporto tecnico, intervenendo rapidamente ogni volta che ci sia necessità, consigliando e configurando gli strumenti e le appliance migliori per fare prevenzione e mitigazione del rischio.

Vuoi conoscere come aumentare le difese e rendere più protetto il tuo applicativo? Puoi contattarci attraverso il nostro sito web: ti forniremo una consulenza personalizzata per un approccio lineare agli obiettivi del tuo progetto.

CONDIVIDI SUI SOCIAL

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

1 + 3 =