Nelle ultime 48 ore è stata registrata da diversi esperti di sicurezza informatica una vulnerabilità critica. Si tratta di Log4Shell, che affligge il modulo open source log4j di Apache Project, al centro di molte applicazioni ospitate dai server di tutto il mondo. A renderlo noto è l’Agenzia per la cybersicurezza nazionale.
I primi segnali di sfruttamento di Log4shell sembrano essere apparsi su Minecraft, piattaforma videoludica di Microsoft, ma ora sarebbero minacciati anche i giganti tecnologici come Amazon, Apple, Twitter, che stanno correndo ai ripari per proteggersi.
Cosa implica la vulnerabilità
“Ciò comporta la presenza di una vasta e diversificata superficie di attacco sulla totalità della rete Internet”, si legge in una nota, “e considerando la sua semplicità di sfruttamento, anche da parte di attori non sofisticati, rende la segnalata vulnerabilità particolarmente grave”.
I tecnici dell’Agenzia per la cybersicurezza nazionale, in costante contatto con le omologhe agenzie europee e internazionali, raccomandano, vista la pericolosità della vulnerabilità, “di ridurre al minimo la sua esposizione su internet applicando le necessarie misure ai propri server nel più breve tempo possibile”.
Il capitolo italiano dello Csirt (Computer Security Incident Response Team) sta pubblicando aggiornamenti di sicurezza sul proprio portale, incluse anche le procedure per risolvere la citata vulnerabilità, ai quali i responsabili tecnici dei servizi It pubblici e privati sono invitati a fare riferimento.
“La vulnerabilità di livello critico” spiega lo Csirt, “a cui è assegnato il punteggio massimo (CVSSv3: 10) in quanto permette l’esecuzione di codice da remoto senza autenticazione, è nota col nome Log4Shell e interessa applicazioni Java-based che utilizzano il prodotto Log4j 2 dalla versione 2.0 fino alla 2.14.1. L’eventuale sfruttamento della falla consente l’esecuzione di codice arbitrario a danno dell’applicazione affetta. Gli aggressori, che non necessitano di un accesso preventivo al sistema, possono inviare una richiesta https malformata tramite una stringa appositamente predisposta, per generare un log su Log4j – che adotta Jndi (Java Naming and Directory Interface) – al fine di registrare la stringa dannosa nel registro dell’applicazione. Durante l’elaborazione del registro”, continua lo Csirt, “il sistema vulnerabile si troverà nelle condizioni di eseguire il codice appositamente inserito dall’utente malintenzionato. Questa condizione può ad esempio portare l’applicazione ad effettuare una richiesta verso un dominio dannoso per eseguire un payload malevolo”. In questo modo per l’attaccante sarà possibile acquisire il controllo dell’applicazione interessata e l’accesso completo al sistema.
Apache annuncia la risoluzione della vulnerabilità
Log4j 2 è una libreria per il logging ampiamente utilizzata nello sviluppo di sistemi aziendali, è infatti inclusa in vari software open-source e spesso direttamente integrata in importanti applicazioni software. Per tale ragione la portata dell’impatto è potenzialmente estesa a migliaia tra prodotti e dispositivi, inclusi quelli di casa Apache come: Struts 2, Solr, Druid, Flink e Swift. Essendo interessata una libreria Java, per natura multipiattaforma, l’impatto si ripercuote sia sulle architetture Windows che Linux, e sono da considerare potenzialmente vulnerabili anche i sistemi di backend e i microservizi.
Apache software foundation spiega che la vulnerabilità è stata risolta nell’aggiornamento Log4j 2.15.0. Il suggerimento del Csirt è di installarlo e, qualora non fosse possibile, ridurre la superficie di attacco con una serie di accorgimenti che vengono indicati. “Poiché molte applicazioni basate su Java possono sfruttare Log4j 2”, avverte il team dell’Agenzia “le organizzazioni dovrebbero valutare di contattare i fornitori di applicazioni o assicurarsi che le loro applicazioni Java eseguano l’ultima versione disponibile del prodotto”.