Una settimana fa il mondo di Internet è stato sconvolto da Log4Shell, una vulnerabilità all’interno di Log4j, un noto framework di logging open source, scritto in Java e distribuito da Apache Software Foundation.
Questa frase potrebbe dire poco a chi non conosce Log4j: falle e vulnerabilità nella sicurezza di software sono ormai all’ordine del giorno in tutto il mondo.
In questo caso però stiamo parlando di uno dei programmi di logging (utili agli sviluppatori per tenere traccia delle attività accadute all’interno di un’applicazione) più utilizzati in tutto il mondo, installato su siti, server, applicazioni come Twitter, Steam, Minecraft, iCloud e tanti altri.
Ciò significa che la portata di questa vulnerabilità è di livello mondiale e, oltre ad avere delle conseguenze immediate, potrebbe averne altre a lungo termine.
Una vulnerabilità semplice da sfruttare
Sinora abbiamo capito che Log4Shell è una falla insita nella libreria Log4J: in pratica in che cosa consiste?
Grazie a questa vulnerabilità, chiunque (anche un bot) può inviare a Log4J una stringa di codice malevolo che verrà registrata dalla libreria al suo interno.
Una volta avvenuta la registrazione, il sistema nel quale è installata Log4J, elaborerà lo script e darà così esecuzione al codice malevolo, permettendo all’attaccante di prendere il controllo dell’applicazione, del server, del sito web, etc.
Data la semplicità con la quale questa falla può essere sfruttata e la diffusione capillare di Log4J nel mondo informatico, in molti hanno definito questa vulnerabilità come una tra le più gravi e critiche della storia.
Perché la patch di Apache non basta?
Pochi giorni dopo la scoperta della vulnerabilità, Apache Software Foundation ha rilasciato una patch, ovvero un aggiornamento correttivo da installare sulla propria libreria in modo da tappare la falla e sistemare il problema.
Tutto a posto? Non proprio.
Gli esperti di cybersecurity infatti hanno sottolineato un paio di aspetti importanti.
Il primo è che Log4J è un framework tra i più diffusi al mondo.
Ciò significa che moltissime aziende possono essere state colpite dalla vulnerabilità subendone i danni fino al momento dell’installazione dell’aggiornamento correttivo.
E proprio qui sorge il problema: delle tantissime aziende che fanno uso della libreria, un grande numero non sa nemmeno di utilizzarla in quanto inserita in app, siti e strutture informatiche complesse proprie o addirittura di terzi fornitori di servizi.
In secondo luogo questa vulnerabilità davvero semplice può essere utilizzata da cybercriminali anche a distanza di molto tempo, per organizzare attacchi singoli o più strutturati a diverse applicazioni o siti in modo da colpire al cuore aziende e realtà di ogni dimensione.