Siamo così abituati a parlare di furto di dati, falle di sicurezza e vulnerabilità che rifarlo sembra banale, ma non lo è. Almeno non nel caso di Log4Shell, una vulnerabilità che alcuni hanno definito la peggiore di sempre. Il problema risiede in Log4j, una libreria Java ampiamente utilizzata nei sistemi aziendali e nelle applicazioni web. Ha già colpito i server Minecraft che sono stati hackerati con un semplice messaggio nella chat del gioco, ma la minaccia è enorme per tutti i tipi di piattaforme. Fortunatamente esiste una patch, quindi gli amministratori di sistema dovrebbero correggere il problema il prima possibile.
Un problema contro il quale gli utenti finali possono fare ben poco (ma gli amministratori di sistema possono)
Log4j è un ambiente di lavoro per il registro delle attività in Apache che consente di monitorare l’attività in un’applicazione. Il CEO di Cloudflare Matthew Prince ha avvertito qualche giorno fa che il problema era così grande che la sua azienda avrebbe cercato di implementare alcuni meccanismi per mitigarlo anche per i clienti del suo servizio gratuito.
Tutto quello che un attaccante deve fare per sfruttare il problema è inviare un pezzo di codice dannoso: quel codice finirà per essere registrato da Log4j se è alla versione 2.0 o successiva, e così facendo darà all’aggressore l’accesso al sistema, che sarà in grado di eseguire il codice in remoto.
Free Wortley, CEO della piattaforma di sicurezza LunaSec, ha spiegato che si tratta di “un difetto di progettazione di proporzioni catastrofiche” e il problema è stato sfruttato ad esempio nei server Minecraft.
Diverse agenzie nazionali di sicurezza informatica hanno pubblicato avvisi sull’argomento e gli esperti hanno avvertito di quanto fosse facile esporre aziende particolarmente grandi che utilizzano regolarmente quella biblioteca. La stessa Apache Software Foundation ha valutato la vulnerabilità – corretta in Log4j 2.15.0 – con un punteggio di pericolo di 10 su 10.
Questa vulnerabilità è peculiare per tante cose ma anche per un aspetto molto suggestivo: quella libreria, che come dicevamo è fondamentale per molte piattaforme, è mantenuta da soli tre sviluppatori. Questi sono riusciti ad affrontare il problema e hanno già pubblicato le patch che consentono a qualsiasi amministratore di sistema di aggiornare quel componente dei propri sistemi per evitare che il problema influisca sui propri servizi.
Gli utenti finali possono fare poco a meno che non dispongano di server su cui hanno installato servizi e applicazioni in grado di utilizzare tale componente. In tal caso, come amministratori di grandi piattaforme e servizi, la chiave è aggiornare i sistemi in modo che quel componente venga corretto con la patch pubblicata da quei tre sviluppatori.
