Log4Shell: la minaccia del web

Security

In informatica Apache log4j è una libreria Java, originariamente scritta da Ceki Gülcü, ora parte del progetto log4j della Apache Software Foundation, uno dei possibili tool per la gestione dei log in ambiente Java insieme a: logback, SLF4J, le API Java per il logging, Apache Common Logging, tinylog ed altri.

Vulnerabilità Log4Shell

Il 9 dicembre 2021 è stata riportata una vulnerabilità 0-day, chiamata Log4Shell, che permette l’esecuzione arbitraria di codice in Log4j. Secondo alcuni si tratta della singola vulnerabilità più grossa e più critica dell’ultimo decennio.

Grazie a una vulnerabilità in Log4j, popolare libreria open source, migliaia di server in tutto il mondo sono stati improvvisamente esposti ad attacchi relativamente semplici. La prima ondata di attacchi è ben avviata. Ma è quello che viene dopo che dovrebbe preoccuparvi.

Finora, l’avanguardia dell’hacking di Log4j ha compreso principalmente i cryptominer, malware che succhia risorse da un sistema colpito per estrarre criptovalute. Anche alcune spie degli stati nazionali si sono dilettate, secondo i recenti rapporti di Microsoft e altri. Quello che sembra mancare sono l’estorsione e i ransomware.

Cybersecurity

Molti software hanno difetti ma non possono essere tutti così male. A detta di tutti, però, la vulnerabilità Log4j – nota anche come Log4Shell – è all’altezza del clamore per una serie di motivi. Il primo è l’ubiquità di Log4j stesso. Come framework di registrazione, aiuta gli sviluppatori a tenere traccia di tutto ciò che accade all’interno delle loro applicazioni. Poiché è open source e affidabile, inserire Log4j invece di costruire la propria libreria di log da zero è diventata una pratica standard. Inoltre, molti prodotti software oggi sul mercato sono messi insieme da vari venditori e prodotti al punto che può essere difficile, se non impossibile, per molte potenziali vittime conoscere l’intera portata della loro esposizione. Se la matrioska più interna del vostro codice esegue Log4j, buona fortuna nel trovarla.

Una minaccia facile

Log4Shell è anche relativamente banale da sfruttare. Basta inviare un pezzo di codice maligno e aspettare che venga registrato. Una volta che ciò accade, si può eseguire da remoto qualsiasi codice sul server interessato. È questa combinazione di gravità, semplicità e pervasività che ha scosso la comunità della sicurezza.

Finora, però, questa calamità sembra lenta a manifestarsi. Gli attori malevoli stanno prendendo di mira Log4j. La società di sicurezza Check Point ha visto oltre 1,8 milioni di tentativi di sfruttare la vulnerabilità da venerdì 10 dicembre, secondo il portavoce Ekram Ahmed. In alcuni casi, hanno registrato più di 100 tentativi al minuto. E gruppi sponsorizzati da Cina e Iran sono stati avvistati mentre usavano Log4Shell per stabilire punti d’appoggio in vari obiettivi.

La fase due

La fase due è quasi certamente in corso. È quando i cosiddetti broker di accesso si mettono al lavoro, vendendo i loro punti d’appoggio Log4j ai criminali informatici in cerca di un ingresso facile.

Le bande di ransomware e altri truffatori, nel frattempo, sono clienti in quel mercato o lavorano duramente per sviluppare i propri exploit. Gli attori più sofisticati stanno prendendo la misura di quali sistemi si trovano, quali difese incontrano e cosa vale la pena perseguire.

Mentre gran parte di questo lavoro fondamentale è stato probabilmente già intrapreso, potrebbe passare un po’ di tempo prima che i suoi impatti siano pienamente noti. Le prime indicazioni sono preoccupanti, però: sono stati rilevati rapporti di aggressori che utilizzano Log4Shell per distruggere i sistemi senza nemmeno cercare di raccogliere il riscatto, un comportamento abbastanza insolito.

Altri attori ancora, in particolare quelli focalizzati sullo spionaggio, potrebbero prendere tempo per non rivelare la loro posizione. Un’organizzazione che pensa che il suo problema Log4Shell sia risolto potrebbe abbassare la guardia. Le grandi organizzazioni probabilmente hanno le risorse per tappare le falle a rischio Log4Shell nelle prossime settimane e mesi. Ma anche loro dovranno aspettare che i fornitori di terze parti forniscano le correzioni. E intere fasce di aziende e organizzazioni non hanno la capacità o il personale nemmeno per sapere quanto sono esposte e tanto meno per rattoppare quei punti. Per non parlare delle vaste aree di internet che nessuno sta controllando. La prossima ondata di Log4Shell sta arrivando. E poi la prossima, e la prossima, e la prossima, e la prossima ancora.

“Sarà in giro finché ci sarà internet”

Questo articolo è originariamente uscito su @Wired Us.