Gli esperti parlano della peggiore vulnerabilità emersa negli ultimi anni sul web. Minacciati anche i giganti come Amazon, Apple, Twitter, che stanno correndo ai ripari per proteggersi. Il 'bug' - cui è assegnato il punteggio massimo di pericolosità (10) - è stato chiamato Log4shell ed affligge il modulo open source log4j 2 di Apache software foundation, cuore della maggioranza delle applicazioni ospitate dai server di tutto il mondo. La falla permette l'esecuzione di codice da remoto senza autenticazione. Ciò, fa sapere l'Agenzia per la cybersicurezza nazionale, "comporta la presenza di una vasta e diversificata superficie di attacco sulla totalità della rete internet e, considerando la sua semplicità di sfruttamento anche da parte di attori non sofisticati, rende la vulnerabilità particolarmente grave".
La raccomandazione dell'organismo guidato da Roberto Baldoni - subito attivatosi per alzare le difese - è di ridurre al minimo l'esposizione della vulnerabilità "applicando le necessarie misure ai propri server nel più breve tempo possibile". Il Csirt Italia, il team di risposta in caso di incidenti istituito presso l'Agenzia, sta pubblicando sul suo sito gli aggiornamenti di sicurezza cui i responsabili IT dei servizi pubblici e privati sono invitati a fare riferimento, incluse anche le procedure per risolvere la vulnerabilità.
I primi segnali di sfruttamento di Log4shell sembrano essere apparsi su Minecraft, gioco on line molto popolare tra i ragazzi e di proprietà di Microsoft. Log4j 2 è una libreria per il logging - basata su Java - ampiamente utilizzata nello sviluppo di sistemi aziendali; è inclusa in vari software e spesso direttamente integrata in importanti applicazioni. Per questo motivo la portata dell'impatto è potenzialmente estesa a migliaia tra prodotti e dispositivi. La vulnerabilità risiede nel modulo di messaggistica e consente l'esecuzione di un codice arbitrario da remoto sul server che utilizza la libreria portando alla completa compromissione dello stesso senza necessità di autenticazione. L'aggressore potrebbe acquisire il controllo dell'applicazione interessata e l'accesso completo al sistema.
Essendo interessata una libreria Java, per natura multipiattaforma, l'impatto si ripercuote sia su Windows che su Linux e sono da considerare potenzialmente vulnerabili anche i sistemi di backend e i microservizi. Ed i malintenzionati sono già in azione per sfruttare la 'porta aperta'. Sono infatti state rilevate, fa sapere Csirt Italia, scansioni in cerca di server vulnerabili ed è prevedibile lo "sfruttamento massivo della vulnerabilità in rete".
Apache software foundation spiega che la vulnerabilità è stata risolta nell'aggiornamento Log4j 2.15.0. Il suggerimento del Csirt è di installarlo e, qualora non fosse possibile, ridurre la superficie di attacco con una serie di accorgimenti che vengono indicati. "Poiché molte applicazioni basate su Java possono sfruttare Log4j 2. - avverte il team dell'Agenzia - le organizzazioni dovrebbero valutare di contattare i fornitori di applicazioni o assicurarsi che le loro applicazioni Java eseguano l'ultima versione disponibile del prodotto".