Log4Shell, perché la minaccia durerà più a lungo di quello che crediamo

Una settimana fa, internet ha vissuto un evento sismico. Grazie a una vulnerabilità in Log4j, una popolare libreria open source, migliaia di server in tutto il mondo sono stati improvvisamente esposti ad attacchi relativamente semplici. La prima ondata di attacchi è ben avviata. Ma è quello che viene dopo che dovrebbe preoccuparvi.

Finora, l’avanguardia dell’hacking di Log4j ha compreso principalmente i cryptominer, malware che succhia risorse da un sistema colpito per estrarre criptovalute. Anche alcune spie degli stati nazionali si sono dilettate, secondo i recenti rapporti di Microsoft e altri. Quello che sembra mancare sono l’estorsione e i ransomware.

L’hype è alto nel mondo della cybersecurity, così come paura, incertezza e dubbio. Molti software hanno difetti ma non possono essere tutti così male. A detta di tutti, però, la vulnerabilità Log4j – nota anche come Log4Shell – è all’altezza del clamore per una serie di motivi. Il primo è l’ubiquità di Log4j stesso. Come framework di registrazione, aiuta gli sviluppatori a tenere traccia di tutto ciò che accade all’interno delle loro applicazioni. Poiché è open source e affidabile, inserire Log4j invece di costruire la propria libreria di log da zero è diventata una pratica standard. Inoltre, molti prodotti software oggi sul mercato sono messi insieme da vari venditori e prodotti al punto che può essere difficile, se non impossibile, per molte potenziali vittime conoscere l’intera portata della loro esposizione. Se la matrioska più interna del vostro codice esegue Log4j, buona fortuna nel trovarla.

Una minaccia facile

Log4Shell è anche relativamente banale da sfruttare. Basta inviare un pezzo di codice maligno e aspettare che venga registrato. Una volta che ciò accade, si può eseguire da remoto qualsiasi codice sul server interessato. È questa combinazione di gravità, semplicità e pervasività che ha scosso la comunità della sicurezza: “È di gran lunga la più grande e critica vulnerabilità di sempre“, dice Amit Yoran, ad della società di cybersicurezza Tenable e direttore inventore di Us-Cert, l’organizzazione responsabile del coordinamento della risposta pubblico-privata alle minacce digitali.

Finora, però, questa calamità sembra lenta a manifestarsi. Gli attori malevoli stanno prendendo di mira Log4j. La società di sicurezza Check Point ha visto oltre 1,8 milioni di tentativi di sfruttare la vulnerabilità da venerdì 10 dicembre, secondo il portavoce Ekram Ahmed. In alcuni casi, hanno registrato più di 100 tentativi al minuto. E gruppi sponsorizzati da Cina e Iran sono stati avvistati mentre usavano Log4Shell per stabilire punti d’appoggio in vari obiettivi. Eppure, per ora, i criptominatori regnano.