Pubblicato il 15 dicembre 2021 da Redazione
Nelle ultime 24-48 ore, si sono moltiplicati gli alert lanciati dai più importanti player dell’Ict e della sicurezza intorno al tema Log4j (poi tramutato nel “nomignolo” Log4Shell). Si tratta di un’utility di registrazione Java, nella quale è stata rilevata un’importante vulnerabilità. I rischi appaiono molteplici per le applicazioni che la sfruttano e si spingono fino all’iniezione forzata e all’esecuzione di codice malevolo da remoto.
Il problema riguarda le versioni dalla 2.0-beta 9 alle 2.14.1 di Log4j e, di fatto, consente di inviare un messaggio specifico (che il server registrerà) e che attiva la vulnerabilità. A questo punto, il server raggiunto va a contattare, tramite l’Api Jndi di connessione a directory, un altro sistema dal quale scarica il malware.
La prima a suonare il campanello d’allarme è stata la Fondazione Apache, che gestisce Log4j, ma a cascata si sono poi susseguiti numerosi messaggi e prove di sfruttamento attivo. Fra questi, troviamo nomi noti come le botnet Mirai, Tsunami e Kinsing, conosciute per la capacità di veicolare ransomware e miner di criptovalute.
Il livello di rischio cambia in funzione della versione di Java utilizzata. Il principale vettore d’attacco (Ldap) non sembra effettivamente sfruttabile a partire dalla 6u211, ma altri protocolli (Http/S, Dns e altri) sono utilizzabili per caricare il codice. Tra l’altro, Log4j viene utilizzato in molte forme di software aziendale e open source, comprese piattaforme cloud, applicazioni Web e servizi di posta elettronica. Questa popolarità significa che un'ampia varietà di software potrebbe essere minacciata dai tentativi di sfruttare la vulnerabilità.
Log4j 2.15.0 apporta un correttivo, che consiste nel porre un lucchetto su Jdni, limitando così i protocolli utilizzabili e le classi accessibili via Ldap. Per chi non ha la possibilità di procedere all’aggiornamento, esistono alcune soluzioni tampone, accomunate dalla capacità di disattivare l’interfaccia StrLookup, grazie alla quale è possibile modificare la configurazione di Log4j.
La portata della vulnerabilità si può misurare dagli alert lanciati, per esempio, da Cisco, che ha individuato una trentina di servizi colpiti. È coinvolto il server Webex Meetings, mentre il client è escluso. Anche i progetti della Fondazione Apache sono stati intaccati in particolare Druid, Flink e Struts2.
L'attuazione degli attacchi a volte appare elementare. La modifica del nome di un iPhone ha colpito nel segno sui server iCloud e allo stesso modo è accaduto su Minecraft, che utilizza un’edizione Java incriminata. I ricercatori di cybersecurity di Check Point hanno riferito che ogni minuto si verificano più di cento tentativi di sfruttare la vulnerabilità. Allo stesso modo, i colleghi di Sophos affermano di aver rilevato centinaia di migliaia di tentativi di esecuzione di codice remoto utilizzando la vulnerabilità nei giorni successivi alla sua divulgazione pubblica, insieme a scansioni alla ricerca della vulnerabilità.
IN EVIDENZA