di Tommaso Meo
Allarme in internet. La causa è una vulnerabilità zero-day che metterebbe a rischio i sistemi informatici di mezzo mondo che usano il linguaggio di programmazione Java. Il problema, secondo gli esperti, risiede nel modulo open source Log4j di Apache Project, una libreria utilizzata dai programmatori per condividere i log di strumenti e applicazioni, e ampiamente diffusa nello sviluppo di sistemi aziendali.
I log sono file che conservano tutte le informazioni sul funzionamento di un software, registrando anche errori e problemi. La vulnerabilità si troverebbe nei tag di questi log, le etichette che permettono di catalogarli e seguirli. “Uno di questi tag consente di eseguire un comando, lanciare un programma”, ha spiegato all’agenzia Agi Marco Ramilli, amministratore delegato della società di cybersecurity Yoroi. Questa vulnerabilità, chiamata ora Log4Shell, permette in questo modo l’esecuzione di un codice malevolo da remoto, senza autenticazione. Attraverso questo tag un malintenzionato può far eseguire a una macchina quello che vuole e potrebbe dati e segreti industriali a un’azienda o sferrare attacchi ransomware. Da quanto si sa c’è già chi sta sfruttando questo bug per minare criptovalute.
Anche l’Agenzia per la cybersicurezza nazionale ha alzato la massima allerta a causa del fatto che “l’elevato utilizzo della libreria comporta la presenza di una vasta e diversificata superficie di attacco sulla totalità della rete internet”. Inoltre la sua semplicità di sfruttamento “rende la vulnerabilità utilizzabile anche da attori non sofisticati”, secondo la nota. Log4Shell ha ottenuto 10 punti su 10 nella scala della pericolosità.
La cosa che ha fatto già gridare in molti all'”apocalisse informatica” è l’ubiquità di Log4j. Java è presente in tre miliardi di dispositivi e Log4j è usato da tantissimi programmatori anche in grandi società, da Twitter a Tesla, passando per Minecraft. Anche l’elicottero della Nasa atterrato su Marte lo scorso febbraio utilizzava Log4j, come ha ricordato in un suo video sul tema Matteo Flora, esperto di sicurezza informatica e amministratore delegato di TheFool, insieme a Stefano Zanero, professore associato al Politecnico di Milano.
In ballo c’è la sicurezza di server e aziende, ma anche di smartphone e computer di semplici utenti. “Se gli attaccanti attaccano un’azienda, l’utente che è loggato in quel sistema si potrebbe vedere rubati i propri dati personali, o quelli delle proprie carte di credito”, ha spiegato ancora Ramilli.
I tecnici dell’agenzia italiana per la cybersicurezza hanno fatto sapere di essere in costante contatto con le omologhe agenzie europee ed internazionali per monitorare la vulnerabilità e hanno raccomandato ai soggetti potenzialmente interessati di ridurre al minimo l’esposizione a Log4Shell prendendo le misure necessarie per i propri server. Il danno sembra lontano dall’essere risolto, ma intanto Apache ha rilasciato una patch d’urgenza come parte delle versione 2.15.0 per cercare di tamponare il problema.
Source link
www.wired.it
2021-12-13 11:55:56