Come stanno rispondendo le organizzazioni agli attacchi Log4J?

FOSTER CITY, California – 21 marzo 2022 – Qualys, Inc. (NASDAQ: QLYS) - azienda leader del mercato nella fornitura di innovative soluzioni IT, di sicurezza e conformità basate su cloud -, presenta i dati di uno studio che rivela come le organizzazioni abbiano risposto ad oggi a Log4Shell.

Contesto
Il 9 dicembre 2021, una vulnerabilità critica zero-day che colpisce la libreria Log4j2 di Apache, un’utilità di registrazione basata su Java, è stata rivelata al mondo. Questo non era un annuncio da poco. Come terzo linguaggio informatico più usato, Java è praticamente onnipresente. La sua libreria Log4j2 è estremamente popolare. Miliardi di dispositivi in tutto il mondo attualmente eseguono Java. La maggior parte delle imprese ne hanno probabilmente più versioni in esecuzione nei loro sistemi informatici.

A questa nuova debolezza scoperta in Java fu presto dato un nome: Log4Shell. Nella hall of fame della cybersecurity - una che include exploit del passato pesanti come HeartBleed, WannaCry e ShellShock -, Log4Shell si è dimostrato avere un profilo a sè. Difficile da localizzare ma facile da sfruttare, era chiaro che questa vulnerabilità avrebbe avuto un impatto massiccio in quasi tutti i settori… colpendoli solo due settimane prima delle vacanze.

L’industria della Sicurezza Informatica Entra in Azione
Non c’è voluto molto tempo perché questa vulnerabilità critica di Java fosse sfruttata in natura. Quasi 1 milione di tentativi di attacco sono stati lanciati in sole 72 ore dopo la divulgazione della vulnerabilità Log4Shell.

Non c’era tempo da perdere. Ai cattivi non importava che fosse la stagione delle vacanze. Con molte aziende che si preparano ad operare con personale IT ridotto all’osso durante le ultime due settimane del 2021, gli hacker e gli attaccanti hanno visto un’opportunità. La corsa era iniziata.

Qualys è stato tra i primi operatori del settore ad analizzare la minaccia e a sviluppare contromisure efficaci per mitigare questa nuova pericolosa vulnerabilità. La Qualys Cloud Platform è una soluzione unificata di cybersecurity e conformità composta da una suite di app cloud specializzate che aiutano le imprese globali a gestire le loro vulnerabilità, minacce ed exploit.

Qualys ha indicizzato più di 10 trilioni di datapoint nella sua base di clienti aziendali installati e completato 6 miliardi di scansioni IP all’anno con 75 milioni di agenti cloud distribuiti in ambienti IT ibridi a livello globale. Con questo tipo di scala, Qualys occupa un punto di vista unico in grado di scovare Log4Shell ovunque si nasconda.

Risposta dell’IT aziendale a Log4Shell, in base ai numeri
Il Team di Ricerca Qualys ha analizzato i dati di sicurezza anonimizzati sulle reti delle imprese globali utilizzando la Qualys Cloud Platform. Esaminando come e dove la libreria Log4j2 è stata implementata nelle organizzazioni di tutto il mondo, Qualys è stata in grado di fornire le seguenti informazioni sull’impatto di Log4Shell entro un mese dalla sua divulgazione.

Ecco una finestra su come le imprese del mondo hanno risposto.

Esposizione di Log4Shell

Qualys Cloud Platform ha analizzato più di 150 milioni risorse IT, in tutte le aree geografiche, segnalando 22 milioni di installazioni di app vulnerabili. Di queste, più dell’80% erano applicazioni open source.

Log4Shell è stato rilevato in più di 3 milioni di istanze vulnerabili.

Più di due mesi dopo, il 30% delle istanze di Log4j rimane vulnerabile agli exploit.[1]

Paesaggio delle minacce di Log4Shell
Quasi 68.000 vulnerabilità sono state trovate nei carichi di lavoro del cloud e nei container negli Stati Uniti e in EMEA, rafforzando la raccomandazione che le imprese devono monitorare i container in esecuzione per falle come Log4Shell.

CISA e NCSC hanno segnalato 1.495 prodotti vulnerabili a Log4Shell, e di questi Qualys ne ha osservati 1.065 attraverso 52 editori attualmente in uso. Questa indicizzazione si è rivelata molto preziosa per i clienti Qualys in quanto questa mappatura SBOM viene fornita out-of-the-box, fornendo intuizioni immediate sul loro inventario di software vulnerabile.

Sorprendentemente, più del 50% delle installazioni di applicazioni con Log4j sono state segnalate come “end-of-support”. Ciò significa che questi editori probabilmente NON forniranno patch di sicurezza Log4Shell per queste applicazioni.

La vulnerabilità è stata rilevata in più di 2.800 applicazioni web. Poiché le applicazioni web sono rivolte al pubblico, questa era la prima linea di difesa per molte imprese che cercavano

di respingere i primi attacchi. Negli Stati Uniti, la maggior parte dei rilevamenti si è verificata prima/durante il periodo di vacanza, mentre nell’Unione Europea questi hanno avuto un picco dopo le vacanze.

Tendenze di vulnerabilità
La stragrande maggioranza delle risorse vulnerabili (oltre l’80%) erano su Linux.

Sono state osservate 98 diverse versioni di Log4j in uso, il 55% delle quali erano versioni vulnerabili.

C’è stato un picco del 20% nei rilevamenti con l’arrivo del nuovo anno e il ritorno al lavoro dei dipendenti.

Entro il primo mese dalla divulgazione di Log4Shell, Qualys ha osservato che il 12% delle installazioni totali di Log4j erano vulnerabili, mentre solo il 5% non lo erano.

Tendenze di riparazione
Il tempo medio di rimedio dopo il rilevamento è stato di 17 giorni. I sistemi che potevano essere sfruttati da remoto sono stati riparati più velocemente (12 giorni), mentre i sistemi interni sono stati più lenti.

Dopo il primo mese, gli sforzi di riparazione si sono stabilizzati e hanno iniziato a diminuire, molto probabilmente perché i team di sicurezza stanno trovando più facile mitigare Log4Shell piuttosto che risolverlo definitivamente.

Modelli di attacco
Il team di ricerca di threat intelligence di Qualys ha osservato tentativi di attacchi ransomware da parte di Conti, Khonsari, e avversari sostenuti dallo stato nazionale basati su Log4Shell, come riportato da VentureBeat.

La soluzione EDR Multi-Vector di Qualys ha rilevato 22.000 attacchi potenziali a settimana al culmine della crisi. Molti di questi erano attacchi sparsi “spray & pray” che cercavano di infettare il maggior numero possibile di sistemi in tempi brevi. I dati indicano che gli attori delle minacce stavano cercando di approfittare della finestra di opportunità delle vacanze.

Gli attacchi hanno anche registrato una tendenza al ribasso nel mese di gennaio, quando i team IT aziendali hanno introdotto controlli di mitigazione e patch.

Nel giro di 24 ore, il Team di Ricerca Qualys ha pubblicato i suoi risultati e ha lanciato un centro risorse Log4Shell per tenere aggiornato il settore. Ha rilasciato oltre 70 rilevamenti di vulnerabilità, continuando a rilasciarne altri man mano che i fornitori rilasciavano le patch per le loro vulnerabilità. Ha anche ospitato una serie di webcast per clienti e non clienti sui passi raccomandati per il rimedio.

Data l’ubiquità di Log4Shell, si è resi conto che avere più imprese che lo rilevano più velocemente avrebbe beneficiato l’intera comunità di cybersecurity. Con questo in mente, Qualys ha sviluppato una nuova utility di scansione open source Log4j per far risparmiare tempo prezioso ai team di sicurezza. Per aiutare le imprese a rilevare e correggere rapidamente queste vulnerabilità, ha offerto un accesso gratuito alla sua piattaforma unificata di sicurezza e conformità per 30 giorni.

Conclusioni
Fortunatamente, vulnerabilità critiche come quelle di Log4Shell sono un evento raro. Tuttavia, la scoperta futura di un’altra debolezza altrettanto grave (o peggiore) è inevitabile. Ecco perché a tutte le imprese, grandi e piccole, si consiglia di investire in una soluzione di piattaforma best-in-class che possa aiutare le operazioni di sicurezza, la gestione delle risorse IT, il rilevamento delle vulnerabilità e la risposta, la sicurezza del cloud, EDR/XDR e la protezione delle app web.

I CxO dovrebbero assicurarsi che i loro team di sicurezza e IT Ops abbiano una visione unificata della risk posture dell’organizzazione. La threat intelligence in tempo reale come quella della knowledge-base di Qualys aiuta le imprese a valutare, monitorare e segnalare continuamente le ultime e più grandi minacce alla sicurezza, in modo che, quando inevitabilmente arriverà “la prossima volta”, si sarà pronti ad intervenire.

Informazioni su Qualys
Qualys, Inc. (NASDAQ: QLYS) è pioniere e fornitore Leader di soluzioni IT di sicurezza e conformità altamente innovative basate sul cloud, con oltre 19.000 clienti dislocati in più di 130 paesi, tra i quali la maggior parte delle società Forbes Global 100 e Fortune 100. La Qualys Cloud Platform, con la relativa Suite di soluzioni integrate in un’unica piattaforma, aiuta le aziende a razionalizzare e consolidare le operazioni di sicurezza e conformità, includendo la sicurezza nei processi di digital transformation per una maggiore agilità, migliori risultati di business e sostanziali risparmi sui costi.

La Qualys Cloud Platform nativa e le molteplici applicazioni cloud integrate offrono una visibilità a 360 gradi su ambienti on-premise, endpoint, cloud, containers e ambienti mobili. La piattaforma assicura la visibilità di cui le aziende hanno bisogno per valutare continuamente le informazioni critiche sulla sicurezza, consentendo loro di automatizzare i sistemi di auditing, conformità e protezione per i sistemi IT e le applicazioni web. Fondata nel 1999, Qualys vanta collaborazioni strategiche con i principali fornitori di cloud come Amazon Web Services, Microsoft Azure e Google Cloud Platform, oltre ai primari provider di servizi gestiti e alle società di consulenza. L’azienda è anche tra i soci fondatori della Cloud Security Alliance (CSA). Qualys opera in Italia tramite la propria filiale di via Libero Temolo 4, in Bicocca a Milano. www.qualys.com

Tutti i marchi citati sono registrati e di proprietà delle rispettive aziende

Contatti Stampa
Ufficio stampa Qualys Italia
Sangalli Marketing & Communications
T. +39 02 89056404 Michela Sangalli – msangalli@sangallimc.it Viviana Gazzola – vgazzola@sangallimc.it

Media Contact:
Jackie Dutton
Qualys media@qualys.com

Media Contact:
Tami Casey
Qualys
media@qualys.com