I team di sicurezza di grandi e piccole aziende stanno cercando da giorni di correggere una vulnerabilità di sistema precedentemente sconosciuta chiamata Log4shell, che ha il potenziale di consentire agli hacker di compromettere milioni di dispositivi su Internet.
Se sfruttata, la vulnerabilità consente l’esecuzione di un codice da remoto su server estremamente vulnerabili, dando all’hacker la possibilità di importare malware che comprometterebbero completamente tutti i dispositivi.
La vulnerabilità è stata trovata in log4j, una libreria di login open-source utilizzata da applicazioni e servizi su Internet. Il login è un processo in cui le applicazioni conservano una lista di attività eseguite che possono essere successivamente riviste in caso di errore. Quasi ogni sistema di sicurezza di rete esegue una sorta di processo di logging, che restituisce ad applicazioni come log4j un discreto successo ed un’importantissima utilità.
Marcus Hutchins, un importante ricercatore di sicurezza (colui che ha fermato l’attacco malware globale WannaCry), ha fatto notare che milioni di applicazioni sono state colpite. “Milioni di applicazioni utilizzano Log4j per i processi di login, e tutto ciò che l’hacker deve fare è scaricare l’applicazione per registrare una stringa di codice speciale,” ha dichiarato Hutchins attraverso un tweet.
This log4j (CVE-2021-44228) vulnerability is extremely bad. Millions of applications use Log4j for logging, and all the attacker needs to do is get the app to log a special string. So far iCloud, Steam, and Minecraft have all been confirmed vulnerable.
— Marcus Hutchins (@MalwareTechBlog) December 10, 2021
L’evento è stato visto per la prima volta sui siti che ospitano i server di Minecraft, ed è stato scoperto che gli hacker potrebbero innescare la vulnerabilità inviando messaggi in chat. Un tweet dalla società di analisi di sicurezza GreyNoise ha riferito che l’azienda ha già rilevato numerosi server che cui compito è quello di cercare in tutto l’internet computer più deboli in cui insinuarsi.
Un post sul blog della società di sicurezza delle applicazioni LunaSec ha affermato che la piattaforma di gioco Steam e iCloud di Apple aveva già subito degli attacchi a seguito di alcune importanti vulnerabilità. Né Valve né Apple hanno rilasciato dichiarazioni in merito, preferendo il silenzio.
Per sfruttare la vulnerabilità, l’hacker deve forzare l’applicazione a salvare una speciale stringa di codice nel suo registro. Dal momento che le applicazioni registrano una vasta gamma di eventi nel proprio registro (come i messaggi inviati e ricevuti dagli utenti, o i dettagli di errori di sistema) la vulnerabilità è insolitamente facile da sfruttare e può essere attivata in numerose modalità.
“Questa vulnerabilità è molto pericolosa a causa dell’uso diffuso che facciamo di Java e del pacchetto log4j,” ha dichiarato il CTO di Cloudflare John Graham-Cumming. “C’è una quantità enorme di software Java collegati ad Internet e nei sistemi di back-end. Negli ultimi dieci anni di storia di internet ci sono solo altri due exploit così preoccupanti: Heartbleed, che ha permesso di ottenere informazioni da server che avrebbero dovuto essere sicuri, e Shellshock, che ha permesso di eseguire codici da un computer in remoto.”
La diversità delle applicazioni vulnerabili a questo registro e la gamma di possibili dispositivi da colpire rendono inefficace una protezione firewall. La vulnerabilità risulterebbe essere ancora più pericolosa poiché potrebbe anche essere effettuata fisicamente nascondendo la stringa di attacco in un codice QR scansionato da una società di consegna pacchi (prendiamo ad esempio gli hub di Amazon), entrando nel sistema senza essere stato direttamente inviato attraverso internet.
Un aggiornamento alla libreria log4j è stato già rilasciato per mitigare la vulnerabilità, ma prima che tutti i dispositivi vulnerabili vengano correttamente aggiornati Log4shell rimane una minaccia pressante.