Attraverso l’aggiornamento del software nella rete aziendale: I/Le cybercriminali cercano di invadere reti aziendali ben protette attraverso applicazioni di terze parti manipolate; oppure utilizzando le lacune nei componenti, come in «Log4Shell.» Questo vettore di attacchi attraverso la supply chain pone i/le responsabili della sicurezza IT di fronte a nuove sfide.
Testo: Andreas Heer, Immagine: AdobeStock,
A dicembre 2020 il grande pubblico ha saputo da un giorno all’altro che i/le cybercriminali non solo attaccano direttamente l’infrastruttura IT delle organizzazioni, ma anche tramite il software utilizzato dalle organizzazioni. Vari operatori, presumibilmente sostenuti dallo Stato, erano riusciti a inserire una backdoor nel software di gestione della rete SolarWinds Orion. L’aggiornamento, una volta compromesso, è stato firmato dalla produttrice e successivamente distribuito a circa 18'000 organizzazioni, alle cui infrastrutture i/le cybercriminali potevano ora accedere più facilmente. Questo attacco, intitolato «Sunburst», vanta la dubbia fama di non essere solo uno dei cyber attacchi più sofisticati e gravi, ma presumibilmente anche il più grande finora nella catena di fornitura dei software.
Ma non c’è fine al peggio. Appena il mondo della sicurezza IT si era ripreso da questo shock, una piccola libreria Java ha fatto parlare di sé. «Log4j» non memorizza solo i file di log delle applicazioni, ma a dicembre 2021 ha anche eseguito qualsiasi codice di programma da un sistema remoto. A tal fine è bastato che un’applicazione trasmettesse a Log4j una stringa URL facile da costruire. La criticità di questa lacuna RCE (Remote Code Execution) ha ricevuto il voto massimo 10. La lacuna stessa si è diffusa con il nome di «Log4Shell» ed è stata sfruttata attivamente già poco dopo essere stata resa nota.
Ma non è tutto. Dal momento che la biblioteca è integrata nelle applicazioni, le aziende hanno dovuto prima verificare se erano direttamente interessate. In tutto il mondo è iniziata una ricerca frenetica di applicazioni che utilizzano Log4j. Solo allora è stato possibile eseguire l’aggiornamento, che ha colmato la lacuna.
Software compromesso da fonti attendibili, lacune nelle librerie software e mancanza di trasparenza sulle librerie e i framework effettivamente utilizzati: La Software Supply Chain si rivela un tallone d’Achille in un’infrastruttura IT altrimenti ben protetta. E il pericolo è tutt’altro che passato: All’inizio del 2022 è stata scoperta una lacuna nel framework «Spring», utilizzato da molte applicazioni Java. Il proseguimento è garantito.
Secondo il Cybersecurity Threat Radar di Swisscom, gli attacchi della supply chain sono tra le tendenze che i/le responsabili della sicurezza IT dovrebbero monitorare più da vicino. Nell’intervista, Oliver Jäschke, Security Governance Manager di Swisscom, valuta la situazione.
Oliver Jäschke, che valore hanno gli attacchi alla supply chain nella sicurezza IT rispetto ai frequenti attacchi ransomware?
Gli attacchi alla supply chain, ovvero gli attacchi agli elementi di fornitura, sono ancora rari in confronto. Non sono infatti così diffusi come si vede oggi con gli attacchi ransomware. Ma la scoperta è molto più difficile, in quanto le modifiche agli oggetti della fornitura vengono effettuate tramite utenti autorizzati e quindi spesso non si notano. A tal fine, nel processo di sviluppo sarebbero necessarie ulteriori misure che vadano oltre il principio del doppio controllo.
Ciononostante, gli attacchi alla supply chain hanno ricevuto molta attenzione. Qual è il problema?
Gli attacchi all’interno della supply chain sono molto difficili da scoprire. Ci si fida del proprio fornitore e si è certi che abbia la sicurezza sotto controllo. In fin dei conti si acquista un prodotto per il quale di norma si paga. Implicitamente si acquista anche la sicurezza.
Spesso non si tiene conto del fatto che il fornitore ha altri fornitori per i sottocomponenti o che utilizza anche FOSS (software libero e open source). Al più tardi in questo caso la tracciabilità è molto difficile.
Come possono reagire le aziende a questa situazione?
Naturalmente le aziende devono attuare misure di sicurezza. Inoltre, possono richiedere che gli oggetti della fornitura siano sottoposti a determinati controlli di sicurezza. Per di più, al momento, il tema dell’USBOM è di grande attualità. Un Bill of Materials del software, una sorta di elenco dei componenti software utilizzati, non previene di per sé gli attacchi alla Supply Chain, ma consente di identificare molto rapidamente i prodotti con i relativi punti deboli e di adottare misure. Log4Shell sarebbe stato più facile da gestire per le imprese se ogni fornitore avesse dimostrato, tramite uno SBOM, di utilizzare proprio questo componente specifico.
Maggiori informazioni: