Vulnerabilità Java e attacco alla Sogin, una vera debacle per la cybersicurezza

Per i non addetti ai lavori la sigla Log4j significa poco, ma per chi opera nel settore informatico è il nome di una delle librerie più usate in ambiente Java. In parole semplici è uno dei tool che si occupano della gestione dei log che gestiscono gli accessi e la registrazione sequenziale delle operazioni che vengono eseguite in ambiente Java e nelle sue applicazioni. La notizia, che ha messo in allarme gli esperti in cybersicurezza di tutto il mondo, è che questa libreria presenta una vulnerabilità zero day in grado di mettere a rischio le applicazioni aziendali che la usano, oltre a decine di servizi famosi tra cui social network e piattaforme dedicate ai videogame.

Secondo le dichiarazioni di Apache, che ha preparato a tempo di record una patch per correggere il problema, questa vulnerabilità consentirebbe agli hacker (anche alle prime armi) di prendere il controllo di server e computer connessi all’infrastruttura. La domanda che nasce spontanea è: ora che è stato rilasciato l’update i server sono al sicuro? La risposta purtroppo non c’è ancora, per due motivi ben precisi. Il primo è che la patch 2.15 messa inizialmente a disposizione per chiudere il problema è stata “setacciata” dagli hacker che hanno scoperto due ulteriori vulnerabilità rendendo di fatto vane tutte le procedure di aggiornamento eseguite fino a quel momento, e che andranno ripetute con il nuovo update 2.16.

Il secondo problema, purtroppo ben noto, è la reattività che hanno alcune aziende a supportare gli aggiornamenti. La situazione è complicata dal fatto che le applicazioni che usano questa libreria sono migliaia e l’ambiente Java è uno dei più usati al mondo. Si calcola che Log4j sia usata da svariati milioni di dispositivi, il che rende questa situazione la più grave falla informatica degli ultimi anni. Enti e società che hanno uffici IT ben strutturati e organizzati o che si appoggiano a team esperti in cybersicurezza come per esempio Hypergrid, avranno già risolto il problema. Ma per tutti gli altri si considera che ci vorranno ancora mesi prima che la situazione possa normalizzarsi.

Il consiglio di Hypergrid è quello di procedere subito agli aggiornamenti con l’aiuto di professionisti del settore e di eseguire le dovute verifiche con procedure di Vulnerability Assessment. Hypergrid è sempre stata protetta da questa minaccia in quanto i firewall Cisco ASA utilizzati per la difesa dell’azienda e per le reti dei clienti non sono affetti dalla vulnerabilità. Per saperne di più è possibile visitare il seguente link con il report rilasciato da Cisco System. Ancora una volta si evidenzia come l’esperienza, la qualità di servizi e la dotazione tecnica sia fondamentale nel settore della cybersicurezza.

Purtroppo, per quanto riguarda le “catastrofi” informatiche dell’ultimo periodo, le brutte notizie non sono terminate. Benché la news non sia stata opportunamente evidenziata dagli organi di stampa generalisti, la Sogin è stata attaccata subendo (secondo le indiscrezioni) un furto di dati che supera gli 800 GB. Potrebbe sembrare normale routine vista la quantità di attacchi che stanno devastando le aziende italiane, purtroppo in questo caso la situazione è ben più grave in quanto Sogin è l’acronimo di “Società Gestione Impianti Nucleari”, ovvero l’organo a cui è affidata la gestione delle scorie e di tutto ciò che ha a che fare con il nucleare nel nostro Paese.

L’episodio è stato confermato dalla stessa Sogin con uno scarno comunicato a questo link, quando ormai alcuni dati erano già stati esposti nel dark web dall’hacker “zerox296” che ha rivendicato l’attacco e messo in vendita l’intero “pacchetto” per una cifra di 250.000 $ in criptovalute. Secondo l’analisi dei sample rilasciati per dimostrare il possesso dei dati, l’archivio conterrebbe oltre 10 anni di attività della società che, ricordiamo, è una controllata del Ministero dell’Economia e delle Finanze. Per gli esperti del settore quello che preoccupa maggiormente è l’eventuale furto dei dati sull’ubicazione dei depositi di scorie. Quello che ha messo in imbarazzo la società è invece uno dei file di log provenienti da uno dei computer attaccati che, nel caso ne venisse dimostrata l’originalità, costituirebbe un grave problema per la gestione di questi archivi. Il log infatti oltre ai dati di lavoro presenta un uso per scopi personali in cui compaiono dati di Whatsapp, foto, video e perfino un file “Chiavi di accesso” salvato in un semplice formato .docx. La vicenda conserva ancora molti lati oscuri e al momento non sono ancora state dichiarate le modalità di attacco, l’effettiva portata del data breach e l’originalità dei documenti esposti sul dark web.

Difesa perimetrale, sicurezza nella gestione degli end point, VPN e verifiche per la ricerca delle vulnerabilità sono essenziale per rendere sicura l’infrastruttura di aziende e PA. Ma sempre più spesso si rivela essenziale anche un servizio come HyperCut, che Hypergrid propone per tenere sotto controllo le variazioni sospette nel traffico di rete e per la gestione di tutte le policy di sicurezza, in modo da impostare differenti gradi di accesso dei computer alla rete modulando le risorse di rete a disposizione del personale.