Il direttore dell'Agenzia per la sicurezza informatica e delle infrastrutture Jen Easterly ha detto ai leader del settore in un briefing telefonico lunedì che una vulnerabilità in una libreria di registrazione ampiamente utilizzata "è una delle più gravi che ho visto in tutta la mia carriera, se non la più grave".

"Ci aspettiamo che la vulnerabilità sia ampiamente sfruttata da attori sofisticati e abbiamo un tempo limitato per prendere le misure necessarie al fine di ridurre la probabilità di danni", ha detto della falla Apache Log4j. Il problema è una vulnerabilità di esecuzione remota non autenticata che potrebbe consentire a un intruso di prendere il controllo di un dispositivo interessato.

Centinaia di milioni di dispositivi sono suscettibili di essere colpiti, ha detto Jay Gazlay dell'ufficio di gestione della vulnerabilità della CISA nella chiamata con i proprietari e gli operatori di infrastrutture critiche.

CISA, una componente del Dipartimento della Sicurezza Nazionale, sta creando un sito web dedicato non appena martedì per fornire informazioni e contrastare la "disinformazione attiva", ha detto Eric Goldstein, assistente direttore esecutivo per la sicurezza informatica presso l'agenzia. La vulnerabilità "permetterebbe agli attaccanti remoti di prendere facilmente il controllo del sistema in cui la sfruttano", ha detto.

Il briefing dell'industria è stato l'ultimo allarme lanciato dai funzionari governativi di tutto il mondo, con la CISA che ha emesso un avviso durante il fine settimana insieme a quelli di Austria, Canada, Nuova Zelanda e Regno Unito.

Goldstein ha detto che la CISA si aspetta che tutti i tipi di aggressori sfruttino la vulnerabilità, dai criptominatori ai gruppi di ransomware e oltre. Non ci sono prove di un attacco attivo della catena di approvvigionamento "in questo momento", ha detto.

Ci vorrà "uno sforzo sostenuto" per le organizzazioni per diventare sicure, con la diligenza necessaria anche dopo aver applicato le patch di Apache, ha detto Gazlay.

"Non c'è una singola azione che risolve questo problema", ha detto Gazlay. E' un errore pensare che qualcuno "avrà finito con questo in una settimana o due".

Il consiglio di Easterly è stato quello di assicurarsi che le organizzazioni abbiano i loro team di sicurezza durante le vacanze, prendere "tutte le misure necessarie per chiudere le debolezze facilmente sfruttabili" e condividere ancora più informazioni del solito con la CISA.

Jen Easterly ha assunto la direzione della CISA a luglio, ma ha lavorato su questioni di politica di sicurezza nazionale almeno dal 2002.

Nella telefonata di un'ora, i funzionari della CISA hanno risposto alle domande dei rappresentanti di banche, ospedali, governi locali e altro.

Fonte: www.cyberscoop.com