I team di sicurezza di aziende grandi e piccole si stanno adoperando per correggere una vulnerabilità precedentemente sconosciuta chiamata Log4Shell, che ha il potenziale per consentire agli hacker di compromettere milioni di dispositivi su Internet.
Se sfruttata, la vulnerabilità consente l'esecuzione di codice remoto su server vulnerabili, dando a un utente malintenzionato la possibilità di importare malware che comprometterebbe completamente le macchine.
La vulnerabilità si trova in log4j, un libreria di registrazione open source utilizzata da app e servizi su Internet. La registrazione è un processo in cui le applicazioni mantengono un elenco aggiornato delle attività eseguite che possono essere successivamente riviste in caso di errore. Quasi tutti i sistemi di sicurezza di rete eseguono un qualche tipo di processo di registrazione, che offre a librerie popolari come log4j una portata enorme.
“Se ripenso agli ultimi 10 anni, mi vengono in mente solo altri due exploit con una gravità simile”
Marcus Hutchins, un importante ricercatore di sicurezza noto per aver bloccato l'attacco globale di malware WannaCry , ha osservato online che milioni di applicazioni sarebbero interessate. “Milioni di applicazioni utilizzano Log4j per la registrazione e tutto ciò che l'attaccante deve fare è fare in modo che l'app registri una stringa speciale”, ha detto Hutchins in un tweet.
L'exploit è stato visto per la prima volta sui siti che ospitano i server Minecraft, che hanno scoperto che gli aggressori potevano attivare la vulnerabilità pubblicando messaggi di chat. Un tweet della società di analisi della sicurezza GreyNoise ha riferito che la società ha già rilevato numerosi server che cercano su Internet macchine vulnerabili all'exploit.
Un post sul blog della società di sicurezza delle applicazioni LunaSec ha affermato che la piattaforma di gioco Steam e iCloud di Apple erano già stati trovati vulnerabili. Né Valve né Apple hanno risposto immediatamente a una richiesta di commento.
Per sfruttare la vulnerabilità, un utente malintenzionato deve far sì che l'applicazione salvi una stringa speciale di caratteri nel registro. Poiché le applicazioni registrano abitualmente un'ampia gamma di eventi, come i messaggi inviati e ricevuti dagli utenti o i dettagli degli errori di sistema, la vulnerabilità è insolitamente facile da sfruttare e può essere attivata in vari modi.
“Questa è una vulnerabilità molto seria a causa dell'uso diffuso di Java e di questo pacchetto log4j”, ha dichiarato a The Verge il CTO di Cloudflare John Graham-Cumming. “C'è un'enorme quantità di software Java connesso a Internet e nei sistemi di back-end. Quando ripenso agli ultimi 10 anni, ci sono solo altri due exploit a cui riesco a pensare con una gravità simile: Heartbleed, che ti ha permesso di ottenere informazioni da server che avrebbero dovuto essere sicuri, e Shellshock, che ti ha permesso di eseguire codice su una macchina remota.”
Tuttavia, la diversità delle applicazioni vulnerabili all'exploit e la gamma di possibili meccanismi di consegna fanno sì che la protezione firewall da sola non elimini i rischi. In teoria, l'exploit potrebbe anche essere eseguito fisicamente nascondendo la stringa di attacco in un codice QR che è stato scansionato da una società di consegna pacchi, facendosi strada nel sistema senza essere stato inviato direttamente su Internet.
È già stato rilasciato un aggiornamento alla libreria log4j per mitigare la vulnerabilità, ma dato il tempo impiegato per garantire che tutte le macchine vulnerabili vengano aggiornate, Log4Shell rimane una minaccia pressante.