Quante volte durante gli ultimi mesi hai sentito parlare di Log4Shell?
Se gli aggiornamenti sul mondo Cyber security sono tra le tue letture frequenti, probabilmente questo termine ti sarà passato davanti tante volte.
Come avrai già potuto leggere in tantissimi titoli a tema tech, si tratta di una vulnerabilità informatica che, da dicembre scorso, ha iniziato a richiamare l’attenzione, a preoccupare tutto il mondo informatico e non solo.
Ma perché la vulnerabilità Log4Shell preoccupa tanto e in che modo minaccia la sicurezza informatica?
Andiamo a scoprirlo insieme, approfondendo le modalità con cui Log4Shell ci espone a rischi e come agire per evitarli.
Sommario dell’articolo
La vulnerabilità Log4Shell esiste dal 2013 ma, è rimasta del tutto inosservata per otto anni. La scoperta di questa enorme falla è stata rievocata soltanto alla fine dello scorso anno da Chen Zhaojun, ricercatore del team del gruppo di sicurezza dell’azienda Alibaba Cloud (filiale della nota azienda di e-commerce Alibaba Group).
Pubblicato privatamente il 24 Novembre scorso alla Apache Software Foundation, l’exploit è stato divulgato pubblicamente quindici giorni dopo, esattamente il 9 dicembre 2021.
Da allora la preoccupazione sollevata da Log4Shell è alta, tanto da essere stata classificata da Apache con un livello di gravità CVSS (Common Vulnerability Scoring System) di 10, il punteggio più alto disponibile.
Pensate che è stata definita “la vulnerabilità più critica dell’ultimo decennio”.
“Una fotografia di quello che è successo nelle ore successive” – la scoperta della vulnerabilità – l’ha fornita oggi Check Point, azienda di sicurezza informatica israeliana:
“il 10 dicembre sono stati registrati qualche migliaio di tentativi di attacco informatico;
l’11 dicembre sono diventati 40.000;
il 12 dicembre 200.000;
ieri, 13 dicembre, erano già più di 840 mila.”
Scrive Arcangelo Rociola in un articolo.
E ancora:
“Sarebbero vittime di tentativi di attacco il 40% delle aziende a livello globale. Il 42% in Europa. Il 43% solo in Italia.
Una situazione complessa tanto da allarmare anche l’Agenzia per la cybersicurezza nazionale che nei giorni scorsi ha parlato di “una vasta e diversificata superficie di attacco sulla totalità della rete”, definendo la situazione “particolarmente grave”.
Abbiamo capito quindi che si tratta di una vulnerabilità informatica piuttosto grave, ma andiamo a capire meglio di cosa si tratta, facendo qualche passo indietro.
Log4J (acronimo di Logging for Java) è una libreria gratuita del linguaggio di programmazione Java – ora parte del progetto di Apache Software Foundation – la cui funzione è quella di scrivere e gestire file di Log.
I File di Log sono come dei “diari di bordo” della programmazione.
Consistono infatti in registri che contengono tutte le informazioni ritenute rilevanti dal programmatore riguardo le operazioni effettuate dall’applicazione, agevolando le funzionalità di amministrazione e monitoraggio.
Tra le principali funzioni dei File di Log troviamo:
- analisi delle segnalazioni di errore
- produzione di statistiche di esercizio
- ripristino di situazioni e versioni precedenti
- analisi delle modifiche fatte nella base dati
- analisi delle operazioni fatte e dei responsabili di tali operazioni
- riepilogo di quanto successo in un determinato arco di tempo
Ma perché ci stiamo soffermando tanto sui File di Log?
Capire cosa sono i File di Log è essenziale per comprendere in cosa consiste Log4Shell, perché è proprio qui che si trova la vulnerabilità.
Ciò che è stato scoperto pochi mesi fa è che tramite un tag dei file di Log, che ha la funzione di “sostituzione messaggi”, è possibile modificare programmaticamente il log degli eventi, inserendo stringhe formattate in modo da richiamare contenuti esterni.
Cosa significa questo?
In breve, forzando l’applicazione che usa la libreria Log4J, un hacker avrebbe la possibilità di far eseguire codice remoto non autenticato, lanciare comandi, e quindi programmi, di qualunque tipo.
Per capire quali applicazioni e dispositivi sono esposti ai rischi di Log4Shell basti pensare che Log4J è una libreria comunemente usata per la programmazione in linguaggio Java.
Per via della sua portabilità, Java è utilizzato nella programmazione di:
- servizi cloud
- web application
- applicazioni di diversi sistemi operativi
- numerosi software di ogni tipologia tra cui (televisori, automobili, cronotermostati, lavatrici ecc.)
Si stima che Java esegua software su circa tre miliardi di dispositivi informatici, che spaziano dai server aziendali al più comune degli smartphone.
Considerando la facilità con cui gli hacker potrebbero accedervi, sono quindi fortemente minacciate un grandissimo numero di web application.
Considerando che Log4Shell permette di eseguire qualunque comando da remoto, le minacce a cui la vulnerabilità di sicurezza web espone dispositivi e web application sono molteplici.
Per citarne alcune, tra le principali azioni dannose per cui un hacker potrebbe sfruttare la vulnerabilità troviamo:
- installazione di Cryptominer – codici dannosi concepiti per hackerare la potenza di calcolo inattiva dei dispositivi delle vittime e utilizzarla per eseguire l’estrazione delle criptovalute;
- attacco ransomware – un tipo di virus che prende il controllo del computer ed esegue la crittografia dei dati; quindi, chiede un riscatto per ripristinare il normale funzionamento;
- botnet – rete di computer infettati da software dannoso in modo da poter essere controllati da remoto;
- attacco DDoS – attacco in cui l’aggressore cerca di impedire agli utenti di accedere alla rete o alle risorse del computer;
- esfiltrazione dei dati;
- perdita del controllo dei propri account.
Per fortuna ad oggi sembra che la vulnerabilità Log4Shell sia stata risolta definitivamente.
Lo affermano gli esperti, dopo il rilascio del più recente aggiornamento per Log4J, da parte della Apache Software Foundation. La vulnerabilità interessa le versioni di Log4J da 2.0-beta-9 a 2.14.1, rimpiazzate dalla versione 2.15.0 prima ancora della divulgazione pubblica di Log4Shell, con l’obiettivo di risolvere la falla.
La versione di Log4J 2.15.0 risolve però la vulnerabilità soltanto parzialmente, così come la successiva.
Fino alla versione 2.16.0, infatti, si riscontrano ancora alcuni problemi di sicurezza, risolti poi definitivamente con il rilascio della versione 2.17.1.
L’installazione della nuova versione, pertanto, chiude la falla ma, come spesso avviene in queste situazioni, non è scontato che essa possa essere applicata con la giusta tempestività.
Questo significa che il pericolo è stato sventato?
Non esattamente, ma in questo modo è almeno possibile difendere i propri sistemi informatici.
Ricordando che tra le vittime di tentativi di attacco tramite lo sfruttamento della vulnerabilità Log4Shell è presente il 40% delle aziende a livello globale, è particolarmente importante in contesti di reti aziendali attuare le giuste operazioni per difendersi dalle minacce dell’exploit.
Si parla tanto di aggiornare la libreria Java Log4J all’ultima versione rilasciata e di introduzione di sistemi di Vulnerability Assessment.
La realtà dei fatti è che aumentare i livelli di sicurezza dei sistemi aziendali a difesa da vulnerabilità come Log4Shell è ben più complesso, anche per gli sviluppatori più esperti all’interno di un contesto aziendale.
Ecco perché, per difendersi dalle minacce di Log4Shell e quindi ripristinare al meglio la sicurezza di un sistema aziendale, si consiglia di affidarsi a degli esperti di Cyber Security.
Ma per capire meglio come ci si può difendere dalla vulnerabilità, ecco quali sono le operazioni che gli esperti andranno ad eseguire sono 3 ed in particolare:
- verranno identificati in azienda tutti i dispositivi con accesso ad Internet che utilizzano la libreria Log4j e verrà aggiornata immediatamente all’ultima versione disponibile;
- verrà utilizzato un Vulnerability Assessment per rilevare le falle di sistema per poi agire in in modo tempestivo su altre vulnerabilità presenti e per agire prevenire altri attacchi informatici;
- sarà valutata l’implementazione di indici di compromissione nei propri sistemi di sicurezza per mitigare eventuali attacchi.
Come abbiamo visto, quindi, Log4Shell è una vulnerabilità che espone l’azienda a parecchie minacce: in particolare le web application e i sistemi di rete aziendali.
Difendersi dall’exploit nel modo giusto diventa essenziale per difendersi da rischi tranquillamente evitabili.
Per avere una consulenza con dei professionisti del settore contattaci.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.