Quali sono le conseguenze della vulnerabilità Log4Shell per le aziende

Questo mese è stata identificata una vulnerabilità significativa in Log4j2, un tool di logging open source in Java, utilizzato nei cloud server e nei software aziendali di tutti i settori. Marsh fornisce indicazioni e consigli utili su come le compagnie possono rispondere.

La scorsa settimana è stata identificata una vulnerabilità significativa in Log4j2, un tool di logging open source in Java, utilizzato nei cloud server e nei software aziendali di tutti i settori. In mancanza di una correzione, la vulnerabilità offre ai malintenzionati l'accesso alle reti interne con il rischio di perdita di dati, di infezioni da parte di ransomware o di altri programmi dannosi e di furto di informazioni.

Cos’è successo?

È stato identificato un difetto di Apache Log4j, una libreria di log Java molto utilizzata. Questa vulnerabilità è facilmente sfruttabile e consente l'esecuzione di codice remoto non autenticato, che può portare i cyber criminali a ottenere il pieno controllo dei server interessati. I sistemi e i servizi che utilizzano determinate versioni di questo tool possono quindi ritrovarsi esposti a causa della vulnerabilità.

Qual è l’impatto di questa vulnerabilità?

Come descritto sopra, le vulnerabilità (CVE-2021-44228 e CVE 2021-45046) possono avere un impatto su alcune versioni di Log4j2: in mancanza di una correzione, offrono ai malintenzionati l'accesso alle reti interne con il rischio di perdita di dati, di infezione da parte di ransomware o di altri programmi dannosi e di furto di informazioni. Questo tipo di vulnerabilità può interessare qualsiasi dispositivo informatico e si stima che abbia avuto un impatto su oltre 3 miliardi di sistemi a livello globale. I criminali informatici la stanno analizzando attivamente, cercando modi per sfruttarla.

Diversi centri di sicurezza informatica in tutta Europa hanno pubblicato linee guida sulla gestione della vulnerabilità per le organizzazioni, oltre a fornire dettagli tecnici sulla mitigazione, sugli strumenti di scansione e sulle vulnerabilità note, come ad esempio:

Cosa possono fare le aziende?

Si raccomanda di seguire e monitorare continuamente le fonti sopra menzionate per indicazioni su come affrontare e mitigare questa vulnerabilità. Di seguito sono riportati alcuni passaggi chiave da implementare il prima possibile:

  1. Utilizzare strumenti di scansione open source per verificare un elenco aggiornato di software vulnerabile (per maggiori dettagli consultare i link citati in precedenza).
  2. Esistono diversi strumenti che possono essere utilizzati per determinare se un sistema è stato potenzialmente compromesso (per maggiori dettagli consultare i link citati in precedenza).
  3. Aggiornare al più presto all'ultima versione tutte le implementazioni di log4j.
  4. Assicurarsi che i sistemi di sicurezza della rete stiano attivamente bloccando tutti gli indicatori di compromissione noti in relazione alla vulnerabilità e che la tecnologia di rilevamento e risposta degli endpoint (EDR) sia attiva su tutti i server.
  5. Monitorare i file di log. I registri sospetti potrebbero indicare un'attività di scansione, che potrebbe essere un indicatore precoce di compromissione del sistema.
  6. Il software Apache in questione è spesso incorporato in programmi di terze parti, che possono essere aggiornati solo dai rispettivi proprietari. Questo significa che un’organizzazione è a rischio nel caso in cui i propri fornitori di servizi non applichino le patch. L’organizzazione dovrebbe quindi assicurarsi che qualsiasi applicazione di terze parti potenzialmente interessata venga aggiornata alla versione più recente e spingere per ottenere il prima possibile da tutti i fornitori di servizi con accesso a reti o dati una conferma scritta che questa vulnerabilità sia stata corretta.
  7. I fornitori di software potenzialmente interessati dovrebbero comunicare quanto prima con i propri clienti per consentire loro di applicare mitigazioni o installare aggiornamenti laddove disponibili.

Per il CISO/Team di Sicurezza IT:

Rilevare i dispositivi e applicare le patch

Identificare tutti i dispositivi esterni che eseguono le versioni di Log4j interessate e aggiornarli nel più breve tempo possibile alla versione più recente.

Se si dispone di implementazioni di Log4j2 che non possono essere corrette, è necessario fare riferimento alle raccomandazioni di mitigazione indicate da Apache sul proprio sito Web.

Verificare se i sistemi siano stati compromessi. Nel caso si renda necessaria un'azione correttiva, è importante garantire che le prove digitali per i sistemi interessati siano conservate.

Spesso le richieste degli assicuratori richiedono al contraente di confermare la rapidità con cui verranno corrette le vulnerabilità critiche del software una volta che queste sono state pubblicate. Qualora sia presente l’impegno a una deadline specifica per l'implementazione delle patch, il rischio è di vedersi rifiutate eventuali rivendicazioni future a seguito di un incidente che sfrutti questa vulnerabilità, laddove questo non sia stato corretto in modo sufficientemente tempestivo.

Prepararsi ad attacchi gravi

In questo momento la vulnerabilità viene utilizzata soprattutto per ottenere un primo punto d'accesso ai sistemi IT delle organizzazioni colpite. Un accesso che potrà successivamente essere utilizzato dai cyber criminali per proseguire nell’attacco. Si raccomanda quindi alle organizzazioni che eseguono una versione potenzialmente compromessa di Log4j di prepararsi allo scenario peggiore (come ad esempio un imminente attacco ransomware). Le aziende dovrebbero quindi eseguire il backup dei dati in tempo reale (o quasi) e assicurarsi che il backup venga isolato rispetto agli altri dati. In questo senso, le soluzioni endpoint per il rilevamento di eventi e codici dannosi possono essere utili per rilevare e sconfiggere tali minacce. È infine necessario prepararsi a implementare il proprio piano di risposta agli incidenti.

Per il Risk Manager:

La definizione dei passi successivi da compiere è legata alla considerazione in merito al fatto che la propria organizzazione sia stata colpita (o meno) e se si disponga di un'assicurazione informatica (oppure no):

  • Qualora l’organizzazione sia stata colpita e si disponga di un'assicurazione informatica, è necessario avvisare tempestivamente la propria compagnia assicuratrice. Marsh può offrire supporto in questo processo.
  • L'assicurazione informatica copre in genere i costi per l'indagine e la risposta agli incidenti informatici. Dopo la notifica, l’Incident Response Manager (IRM) condurrà un triage iniziale per determinare se i panel response vendor, come ad esempio i servizi di informatica forense, debbano essere coinvolti.

Nota: non è necessario informare la propria compagnia di assicurazione per l’ambito cyber se l’organizzazione non è stata colpita.

  • Nel caso in cui l’azienda venga colpita, ma non si disponga di una polizza cyber, il team ​​Cyber Incident Management di Marsh può fornire indicazioni e consigli utili a individuare le  risorse adatte per le fasi di investigazione e risposta.
  • Se non si è sicuri che la propria organizzazione sia stata colpita o violata e lo si vuole stabilire in modo chiaro, suggeriamo di seguire le best practice sopra descritte e di informare il proprio assicuratore in merito a una circostanza che potrebbe dar luogo a un reclamo ai sensi della polizza. Marsh può offrire supporto in questo processo.
  • Infine, nel caso si sia prossimi al rinnovo dell'assicurazione cyber, è necessario essere pronti a rispondere a eventuali domande relative a questa vulnerabilità. Marsh provvederà a fornire ulteriori dettagli al momento opportuno.

Quali possono essere gli sviluppi futuri? 

Gli exploit zero-day evidenziano come sofisticate operazioni di spionaggio possano evolversi rapidamente in vere e proprie ondate di criminalità diffusa. A peggiorare le cose il fatto che i cyber criminali stiano riducendo il tempo che intercorre tra la compromissione della rete e l’effettivo lancio di un attacco, lasciando quindi ancora meno spazio per margini di errore. Nel complesso, il panorama odierno evidenzia la necessità di una gestione agile del rischio informatico: in questo senso i consulenti in ambito cyber risk di Marsh possono aiutare le organizzazioni a essere più resilienti e meglio preparate nei confronti delle minacce cyber.

Inoltre, le organizzazioni dovrebbero applicare un approccio di tipo “Defense-in-Depth” che includa soluzioni di cyber security abbinate ad azioni di intelligence sulle minacce, all’applicazione tempestiva delle patch alle vulnerabilità critiche e a backup regolari dei dati. Il rischio cyber non può essere completamente eliminato: è quindi essenziale disporre di un programma assicurativo ben strutturato per affrontare il rischio finanziario residuo.

Marsh può offrire il supporto necessario:

Il team Cyber ​​di Marsh è a disposizione in qualsiasi momento per fornire risposte, servizi e soluzioni leader nel mercato per la risposta e la gestione degli incidenti cyber, la revisione o il posizionamento della copertura assicurativa, nonché per la pianificazione e l'ottimizzazione della gestione del rischio informatico. Per ulteriori informazioni, contattare un rappresentante Marsh o un membro del team cyber di Marsh:

Florian.Saettler@marsh.com 
Head of Cyber Incident Management – Continental Europe

Jean.BayonDeLaTour@marsh.com
Head of Cyber - Continental Europe

Gregory.vandenTop@marsh.com
Cyber Risk Consulting Leader - Continental Europe - North

Nelia.Argaz@marsh.com 
Cyber Risk Consulting Leader - Continental Europe - South

Pablo.Constenla@marsh.com
Head of Cyber Claims & Products – Continental Europe 

Il Cyber Team in Italia:

Image placeholder

Paolo Tagliabue

Director, Head of Financial & Professional Risks (FINPRO)

Image placeholder

Niccolò Magnani

Cyber Team Leader, Financial & Professional Risks (FINPRO)