La vulnerabilità di Log4j, battezzata Log4Shell, continua a destare preoccupazioni a settimane dalla sua scoperta. Comunicata dalla Apache Software Foundation a inizio dicembre, a detta di moltissimi addetti ai lavori continuerà a essere un problema per anni, nonostante il rilascio di diverse patch, consentendo di compromettere applicazioni Web di ogni genere con attacchi di remote code execution. Ora da Microsoft arriva una nuova allerta: gli update rilasciati nell’ultimo mese, incluso quello di Windows Defender (l’aggiunta di una dashboard per la gestione della vulnerabilità), non sono bastati per mettere al riparo le aziende.
“Ci sono stati ancora alti livelli di tentativi di sfruttamento e i test nelle ultime settimane di dicembre”, si legge in un post firmato dal Microsoft 365 Defender Threat Intelligence Team e dal Microsoft Threat Intelligence Center. “Abbiamo osservato molti attaccanti aggiungere exploit per queste vulnerabilità nei loro malware kit e nelle loro tattiche già in uso, dal mining di valuta agli attacchi manuali sulla tastiera”.
Le aziende clienti di prodotti Microsoft (cioè quasi ogni azienda sul mercato) non sono del tutto consapevoli dei rischi che corrono. Dovrebbero, invece, capire che “l’estesa disponibilità del codice exploit le capacità di scanning sono un pericolo reale e presente per i loro ambienti”. Dunque Microsoft caldeggia l’utilizzo di script e di strumenti di scansione degli ambienti IT, capaci di evidenziare i punti deboli e il potenziale impatto di un attacco.
Accanto ad attacchi di più basso profilo, sono in corso campagne criminali sofisticate, sponsorizzate da governi e agenzie di intelligence. La società di sicurezza informatica CrowdStrike, per esempio, ha scoperto tentativi di assalto condotti da un gruppo cybercriminale cinese, battezzato Aquatic Panda. Attivo almeno dalla primavera del 2020, agisce per scopi di intelligence e di spionaggio industriale, su obiettivi appartenenti al settore governativo, all’ambito delle telecomunicazioni e della tecnologia. Non è chiaro quale fosse la finalità di Aquatic Panda nell’attacco osservato da CrowdStrike sulla vulnerabilità Log4Shell, dal momento che il tentativo è stato bloccato.