Nelle ultime settimane in Log4j2, una libreria di logging popolare per le applicazioni Java, è stata scoperta una vulnerabilità critica (CVE-2021-44228). Gli attaccanti possono sfruttare questo difetto per effettuare un attacco RCE (Remote Code Execution) su qualsiasi sistema su cui è implementata.
Vale la pena notare che, secondo la società di consulenza Forrester, attualmente più di 3 miliardi di dispositivi in tutto il mondo stanno eseguendo Java in qualche formato. Considerata l’estensione, gli esperti WatchGuard considerano la vulnerabilità Log4j2 particolarmente grave. Per fortuna, è già stata corretta nelle ultime versioni: 2.17.0 (Java 8), 2.12.3 (Java 7) e 2.3.1 (Java 6). In risposta, gli MSP devono aggiornare la versione di Log4j2 implementata nei dispositivi dei loro clienti il prima possibile. Se dispongono di un servizio di prevenzione delle intrusioni che contiene già le loro firme, saranno protetti anche da attacchi che possono sfruttare questa situazione.
Identificazione, assegnazione di priorità e correzione
Questo è un ottimo esempio di quanto le vulnerabilità in programmi e applicazioni popolari possano essere pericolose per i sistemi. Come se non bastasse, la loro frequenza sta aumentando: solo nel 2020, è stato segnalato un totale di 18.103 vulnerabilità, con una media di 50 vulnerabilità ed esposizioni comuni (CVE) al giorno. Gli amministratori e il personale IT spesso non hanno abbastanza tempo o risorse a disposizione per occuparsi della gestione delle patch e degli aggiornamenti. È pertanto fondamentale che gli MSP comprendano quanto sia importante prevenire lo sfruttamento delle vulnerabilità, ma per riuscirci devono superare tre grandi sfide:
- Identificazione delle vulnerabilità: solo un numero ridotto di attacchi avviene a seguito di vulnerabilità sconosciute a tutte le parti (attacchi zero-day). Nella maggior parte dei casi, i criminali informatici sfruttano i difetti noti. È per questo motivo che gli MSP devono assicurarsi che i loro clienti sappiano quando compaiono e colpiscono i loro sistemi, poiché il periodo di tempo tra la scoperta di una vulnerabilità e l’esecuzione di un attacco è stato significativamente ridotto.
- Assegnazione di priorità alla mitigazione: sebbene possa sembrare ovvio, la maggior parte delle organizzazioni ha difficoltà a capire quali aggiornamenti delle patch devono essere installati per primi. Secondo Ponemon, il tempo medio che le aziende impiegano per installare le patch ad applicazioni o sistemi è di 97 giorni. Ecco perché gli MSP devono sapere a quali patch assegnare la priorità in modo affidabile e automatico.
- Correzione delle vulnerabilità: durante la fase finale della correzione vengono installate le patch necessarie per riparare una vulnerabilità o una violazione della sicurezza identificata. Si tratta, tuttavia, di un’attività rischiosa. Gli MSP devono assicurarsi che nelle organizzazioni siano installate le patch giuste, poiché queste ultime potrebbero non essere legittime (devono provenire da una fonte ufficiale), e le patch non sono sempre valide per tutti i tipi di dispositivi. Inoltre, gli MSP devono assicurarsi che l’aggiornamento non abbia effetti negativi o collaterali come, ad esempio, modifiche nella configurazione, nelle policy del firewall e via dicendo.
Per affrontare queste sfide, gli MSP devono installare sui software e sui sistemi operativi dei loro clienti strumenti avanzati che siano in grado di semplificare il ciclo di vita della gestione delle patch. Queste soluzioni devono disporre di funzionalità di verifica, monitoraggio e assegnazione di priorità agli aggiornamenti, ma devono anche includere capacità di contenimento, mediante l’installazione immediata di patch, degli attacchi che sfruttano le vulnerabilità. Ciò consentirà di ridurre la superficie di attacco e di rafforzare la capacità di prevenire incidenti correlati alle vulnerabilità.
FONTE: https://www.watchguard.com/it/wgrd-news/blog/contenimento-delle-vulnerabilita-3-sfide-gli-msp
