Tecnologia

Cybersecurity, tutto quello che sappiamo finora sulla vulnerabilità Log4shell

di Giancarlo Calzetta

Immagine non disponibile

(denisismagilov - stock.adobe.com)

C'è una vulnerabilità che affligge una libreria di Apache chiamata Log4j 2 e permette a chiunque di attaccare una quantità enorme di servizi Internet e aziende

14 dicembre 2021

4' di lettura

La notizia è una di quelle che fa tremare tutta Internet: c'è una vulnerabilità che affligge una libreria di Apache chiamata Log4j 2 e permette a chiunque abbia un minimo di dimestichezza con i computer di attaccare una quantità enorme di servizi Internet e aziende. In pratica, quasi tutti i server e i prodotti che usano Java sono attaccabili se in grado di ricevere dati da Internet, senza che gli attaccanti abbiano bisogno di credenziali o di accesso alla rete interna.

L'Agenzia per la Cybersicurezza Nazionale diretta da Roberto Baldoni ha rilasciato un comunicato domenica pomeriggio in cui avvisava di una “vasta e diversificata superficie d'attacco sulla totalità della rete Internet”, ma la storia inizia molto prima ed è più grave di quanto non possa sembrare. Scoperta il 24 dicembre da un ricercatore di Alibaba, il colosso del cloud cinese, questa falla permette ai criminali di lanciare qualsiasi programma sui server che sfruttano Java. Il problema principale è che il modo per farlo è davvero semplice (basta un comando inviato nel modo giusto anche da un qualsiasi programma per la navigazione Web) e su Internet si trovano una enormità di esempi su come agire.Il primo attacco scoperto è stato quello portato ai danni di Minecraft, un gioco online che vanta milioni di giocatori attivi ogni giorno e la cui potentissima struttura informatica era in parte stata riprogrammata grazie a questa vulnerabilità per creare criptovaluta sui conti dei cybercriminali. Da quel momento in poi, però, le cose vanno letteralmente fuori controllo.

Appena la vulnerabilità viene resa nota, tramite la pubblicazione il giorno dopo dell'apposita voce nell'archivio che segnala le vulnerabilità a tutti gli operatori del settore (con il codice CVE-2021-44228), parte una quantità enorme di attacchi, con conseguenze che diventeranno chiare solo nel corso delle prossime settimane. Se, infatti, la maggior parte di quelli già scoperti era mirata a creare criptomonete, una quantità ancora tutta da determinare ha al momento obiettivi sconosciuti. Secondo Microsoft e Sophos, sono già stati riportati attacchi effettuati tramite Log4Shell che hanno portato alla compromissione di reti aziendali tramite l'installazione di malware o kit tipo Cobalt Strike, tristemente famoso per essere utilizzato per rubare credenziali di accesso. Sicuramente, molti di questi attacchi sfoceranno in ransomware, attività di spionaggio industriale e tentativi di frodi finanziarie. Ma qualcuno sapeva già da tempo e gli attacchi diventano più sofisticati. Sebbene gli attacchi in massa siano iniziati il 10 di dicembre, le indagini condotte da CloudFlare hanno scoperto che alcuni cybercriminali avevano iniziato a sfruttare la falla già dal primo del mese, mentre Cisco Talos ha trovato delle tracce simili a partire dal 2 dello stesso mese. Ovviamente, ai tempi i bersagli erano ancora completamente ignari e necessariamente impreparati a fronteggiare una minaccia ancora non annunciata, ma dovrebbero esser stati (tardivamente) avvisati del pericolo.

Anche chi è già corso ai ripari nei giorni scorsi, però, non può star tranquillo. Checkpoint ha infatti rilevato che già da lunedì, a soli tre giorni dall'inizio della follia di massa, i criminali hanno iniziato a cercare modi meno diretti per sfruttare la vulnerabilità, in modo da eludere i controlli messi in atto per bloccarne l'efficacia e nascondere i loro tentativi di accesso a chi sta investigando nelle aziende. In sole 24 ore, sono state rilevate oltre sessanta varianti nel modo di utilizzo della falla, tutte tese a rendere più difficile scoprire le intrusioni.Le ragioni del disastro partono da lontano e sono fondamenta fragili.

Ma come è possibile che una libreria dal nome sconosciuto alla grande massa sia alla base di quella che è stata definita come una catastrofe senza precedenti? Le motivazioni sono tristemente note a tutti gli operatori del settore delle comunicazioni, ma non sono facili da rimuovere. Log4J 2 è una libreria sconosciuta al grande pubblico, ma famosissima tra chi sviluppa software in Java (forse il linguaggio attualmente più utilizzato al mondo nelle applicazioni per il Web e di sicuro uno dei più usati nei prodotti connessi a Internet). Il suo scopo è semplicemente quello di tenere traccia di tutto quello che succede sui server, annotando in un file di testo ogni operazione compiuta. Questa operazione, chiamata logging, è utilissima per tutti i programmatori perché rende molto più semplice trovare eventuali errori di programmazione, malfunzionamenti e anche abusi.Log4J 2 è uno di quei progetti sviluppati in open source che quasi tutti danno per scontati, ma che viene mantenuto da un numero molto basso di sviluppatori che lo fa a tempo perso. Quindi, il guaio di questi giorni ci fa scoprire che una delle attività più importanti (il logging) di una delle attività più critiche del pianeta (la gestione di servizi Web e prodotti connessi alla rete) viene svolta da una libreria disponibile gratuitamente e programmata a tempo perso da un tecnico di buona volontà

La cosa peggiore, è che Log4Shell è solo la punta dell'iceberg. Log4J 2, infatti, è solo una delle librerie opensource che vengono usate ogni giorno da milioni di siti web, servizi e prodotti connessi. Questa pletora di piccole funzioni comodissime e che ormai vengono date per scontate sono gestite, se ancora lo sono, da pochissime persone quando non addirittura una. Un esempio lampante è quello di Curl, un software usato solo da specialisti che è però alla base del trasferimento di dati in strutture di altissimo livello, ma è sviluppato da una sola persona.

Una vignetta che gira su In passato, inoltre, abbiamo già assistito a un problema simile, anche per portata: Nel 2014 fu scoperto e segnalato dal team interno di sicurezza di Google una vulnerabilità su OpenSSL chiamata Heartbleed. Anche in quel caso, la vulnerabilità era grave e riguardava una componente open usata da mezzo mondo e gestita da pochissime persone. Forse, come ha puntualizzato Stefano Zanero, professore associato al Politecnico di Milano, sarebbe ora di pensare a una struttura più solida per le fondamenta del Web.