Salta al contenuto principale
NOTIZIESICUREZZA

Log4Shell – La vulnerabilità zero-day che spaventa internet

Da 13 Gennaio 2022Nessun Commento
Log4Shell

Il 10 dicembre è stata divulgata la notizia della presenza di una grave vulnerabilità nella libreria Apache Log4J, chiamata Log4Shell, che mette a rischio quasi tutte le applicazioni ed i software che utilizzano Java. 

Il rischio per la sicurezza informatica è alto, tanto da ricevere un punteggio di 10 su 10  nella scala CVSS che valuta questo tipo di vulnerabilità, e coinvolge un grande numero di realtà, sia pubbliche che private. 

Vediamo di capire come funziona la famosa libreria open source di Apache e perché questo bug ha rischiato di fare gravi danni. 

Cos’è Log4J?

Log4J è una libreria, scritta in codice Java, che consente agli sviluppatori di creare dei log, ovvero un registro di tutte le operazioni  effettuate da chiunque acceda ed utilizzi il software. In altre parole: “il suo scopo è semplicemente quello di tenere traccia di tutto quello che succede sui server, annotando in un file di testo ogni operazione compiuta” (1). 

Log4J consente perciò agli sviluppatori di un’applicazione di immagazzinare una grande quantità di dati, utili per tenere sotto controllo il comportamento del software, sia nella fase di sviluppo, sia una volta che viene mandato online. In questo modo è molto più facile per i tecnici l’individuazione di errori, malfunzionamenti e bug. 

Si tratta della libreria open source più nota e popolare, utilizzata da un enorme numero di aziende nel mondo. Ad esempio, essa è integrata in tutti i prodotti Microsoft, in Twitter, Amazon, Minecraft, Steam e iCloud, solo per citarne alcuni. 

E, a quanto pare, al suo interno è presente una vulnerabilità zero day che è stata chiamata Log4Shell.

Log4Shell

Immediatamente definita come la “singola vulnerabilità più grossa e più critica dell’ultimo decennio” (2), Log4Shell è un bug di tipo zero day, ovvero una vulnerabilità sconosciuta persino agli sviluppatori che hanno creato il sistema.

Questo bug permette agli hacker che lo sfruttano di prendere il controllo, in forma anonima, di tutti i server che utilizzano Java. Cosa che, nella pratica, si traduce in attività illecite come la creazione di criptomonete, l’installazione di malware per rubare (e rivendere) credenziali di accesso, ransomware ed attività di spionaggio. 

Il pericolo per la sicurezza informatica è molto serio, a causa di alcuni fattori. In primo luogo la vulnerabilità Log4Shell sembra essere molto facile da sfruttare e, come già detto, coinvolge una grandissima quantità di software, dispositivi ed aziende. Basti pensare che a sole 12 ore di distanza dall’annuncio della scoperta, sono stati registrati oltre 40mila attacchi, con oltre 90 paesi coinvolti nel mondo.

Inoltre, la gravità della situazione deriva anche dal fatto che, a causa della natura stessa del bug,  è molto difficile capire da dove e, soprattutto, da chi partono questi attacchi. Sebbene, infatti, la maggior parte delle minacce passi attraverso dei server situati in Russia, questo non comporta necessariamente un coinvolgimento del governo russo nella faccenda:  

L’attacco Log4Shell, infatti, si compone di due parti: la prima è quella di inviare a un server o ad un dispositivo vulnerabile una richiesta web scritta per sfruttare la vulnerabilità; la seconda è quella di mettere a disposizione un malware da qualche parte che verrà scaricato dal bersaglio colpito dalla prima azione” (3). Senza contare poi che molti attacchi sfruttano una connessione VPN per nasconderne l’origine.

Non appena la falla nella sicurezza è stata resa nota, benché in realtà venisse già sfruttata dagli hacker, è partita un’enorme quantità di attacchi informatici, alcuni state-sponsored, cioè collegati ai governi di diversi paesi come Cina, Iran, Corea del Nord e Turchia.

Correre ai ripari

Apache non è, ovviamente, rimasta a guardare. L’azienda americana ha infatti immediatamente pubblicato due patch per risolvere il problema. Entrambe però, non sono risultate efficaci, mostrando vulnerabilità simili. 

Solo la terza patch, ed in particolare la versione 2.17.0 di Log4J, sembra essere immune alla falla Log4Shell. Finora, infatti, tutti gli attori coinvolti che hanno implementato questa versione della libreria non hanno segnalato problemi di sicurezza.

Per giungere a questa soluzione, però, ci sono volute più di 2 settimane. Tempo prezioso, che è costato oltre 4 milioni di attacchi informatici, con il 43% delle aziende italiane colpite, e danni per una cifra che è e sarà difficile da stabilire. 

Con l’annuncio della chiusura definitiva della falla, tuttavia, non vuol dire che si possa abbassare la guardia. L’agenzia italiana per la cybersicurezza avvisa che la nuova versione di Log4J concentra la sua attenzione sulla vulnerabilità CVE-2021-44832, che però potrebbe eseguire righe di codice provenienti da qualcuno che si trova già all’interno del sistema, penetrato in precedenza. Sebbene questa venga ritenuta una minaccia di scarsa pericolosità, rimane di fondamentale importanza effettuare l’aggiornamento.

Seguiteci sul nostro sito per rimanere aggiornati sulle ultime novità.