Log4Shell, la vulnerabilità critica “di proporzioni catastrofiche” che minaccia di distruggere Internet

Date:

Share post:

Siamo così abituati a parlare di furto di dati, falle di sicurezza e vulnerabilità che rifarlo sembra banale, ma non lo è. Almeno non nel caso di Log4Shell, una vulnerabilità che alcuni hanno definito la peggiore di sempre. Il problema risiede in Log4j, una libreria Java ampiamente utilizzata nei sistemi aziendali e nelle applicazioni web. Ha già colpito i server Minecraft che sono stati hackerati con un semplice messaggio nella chat del gioco, ma la minaccia è enorme per tutti i tipi di piattaforme. Fortunatamente esiste una patch, quindi gli amministratori di sistema dovrebbero correggere il problema il prima possibile.

 

Un problema contro il quale gli utenti finali possono fare ben poco (ma gli amministratori di sistema possono)

Log4j è un ambiente di lavoro per il registro delle attività in Apache che consente di monitorare l’attività in un’applicazione. Il CEO di Cloudflare Matthew Prince ha avvertito qualche giorno fa che il problema era così grande che la sua azienda avrebbe cercato di implementare alcuni meccanismi per mitigarlo anche per i clienti del suo servizio gratuito.

Tutto quello che un attaccante deve fare per sfruttare il problema è inviare un pezzo di codice dannoso: quel codice finirà per essere registrato da Log4j se è alla versione 2.0 o successiva, e così facendo darà all’aggressore l’accesso al sistema, che sarà in grado di eseguire il codice in remoto.

Free Wortley, CEO della piattaforma di sicurezza LunaSec, ha spiegato che si tratta di “un difetto di progettazione di proporzioni catastrofiche” e il problema è stato sfruttato ad esempio nei server Minecraft.

Diverse agenzie nazionali di sicurezza informatica hanno pubblicato avvisi sull’argomento e gli esperti hanno avvertito di quanto fosse facile esporre aziende particolarmente grandi che utilizzano regolarmente quella biblioteca. La stessa Apache Software Foundation ha valutato la vulnerabilità – corretta in Log4j 2.15.0 – con un punteggio di pericolo di 10 su 10.

Questa vulnerabilità è peculiare per tante cose ma anche per un aspetto molto suggestivo: quella libreria, che come dicevamo è fondamentale per molte piattaforme, è mantenuta da soli tre sviluppatori. Questi sono riusciti ad affrontare il problema e hanno già pubblicato le patch che consentono a qualsiasi amministratore di sistema di aggiornare quel componente dei propri sistemi per evitare che il problema influisca sui propri servizi.

Gli utenti finali possono fare poco a meno che non dispongano di server su cui hanno installato servizi e applicazioni in grado di utilizzare tale componente. In tal caso, come amministratori di grandi piattaforme e servizi, la chiave è aggiornare i sistemi in modo che quel componente venga corretto con la patch pubblicata da quei tre sviluppatori.

Federica Vitale
Federica Vitalehttps://federicavitale.com
Ho studiato Shakespeare all'Università e mi ritrovo a scrivere di tecnologia, smartphone, robot e accessori hi-tech da anni! La SEO? Per me è maschile, ma la rispetto ugualmente. Quando si suol dire "Sappiamo ciò che siamo ma non quello che potremmo essere" (Amleto, l'atto indovinatelo voi!)

Related articles

Una nuova tavola periodica basata sugli ioni potrebbe rivoluzionare la misurazione del tempo

Non è solo un esperimento accademico: la nuova tavola periodica proposta da Chunhai Lyu e dal suo team...

Titano, la luna di Saturno con fiumi di metano ma senza delta: un mistero che sfida gli scienziati

Titano, la luna più grande di Saturno, è uno dei corpi più affascinanti del Sistema Solare. Unico nel...

La Niña è finita: ecco cosa cambierà per gli uragani e il meteo nel 2025

La Niña è ufficialmente terminata. Dopo mesi di influenza sulle condizioni meteo globali, gli scienziati del clima confermano...

L’ematite, il minerale antico che può rivoluzionare l’informatica del futuro

Usata per millenni come pigmento e nota per il suo colore rosso scuro, l’ematite sta per diventare la...