Il settore della sicurezza informatica è in subbuglio: è iniziata infatti una spasmodica corsa alla realizzazione di ‘patch’ utili a neutralizzare Log4Shell, vulnerabilità della rete definita dagli esperti “fra le più pericolose di tutti i tempi”, capace di aprire le porte di reti industriali e governative a malintenzionati.
Secondo la Apache Software Foundation, la pericolosità di Log4Shell è, su una scala di 10, pari proprio a 10. Il massimo. Tanto che le aziende di cybersecutity hanno definito la battaglia contro possibili sfruttamenti criminali della falla una corsa contro il tempo.
Con Log4Shell “Non ci sono realtà non a rischio” secondo gli esperti
A rischio, praticamente, è qualunque realtà, pubblica o privata, utilizzi una rete internet, come ha spiegato Joe Sullivan, chief security officer di Cloudflare, azienda di sicurezza informatica. “Mi viene difficile pensare a una realtà che non sia in pericolo” ha detto, tanto laconico quanto preoccupato, all’Associated Press.
Sullivan ha spiegato che milioni di server potrebbero subire danni a causa di Log4Shell, qualora non si arrivasse immediatamente a una soluzione. E, tra l’altro, le conseguenze potrebbero rivelarsi non subito, ma anche dopo giorni.
“C’è gente che si sta impegnando per realizzare una ‘patch’ e altra gente che invece sta provando a sfruttarla per loschi fini – ha poi spiegato, sempre ad AP, Adam Meyers, vice presidente senior di Crowdstrike, altra azienda che si occupa di cybersicurezza -. Sono bastate poche ore dalla scoperta per renderla pericolosa, perché i criminali iniziassero a sfruttarla”. Meyers ha aggiunto che la ricerca della falla nei server è complicata dal fatto che i software infettati possono trovarsi in applicazioni di terze parti.
Cosa rischia chi non risolve il problema
Il pericolo principale è quello di esporre dati sensibili oltre a segreti aziendali e governativi, che gli hacker potrebbero rivendere a criminali o utilizzare in prima persona per fini criminosi. A scoprire la vulnerabilità è stato, lo scorso 24 novembre, il gigante tech cinese Alibaba, ha poi spiegato la Apache Software Foundation.
Nello specifico, è stata rilevata all’interno di Minecraft, un videogioco online da oltre 140 milioni di utenti di proprietà della Microsoft. L’azienda di Redmond ha confermato il problema, spiegando però di aver già pubblicato un aggiornamento con una ‘patch’ in grado di neutralizzare la minaccia.
Gli esperti, però, ritengono il problema molto lontano dalla sua soluzione: la criticità principale sembrerebbe essere il tempo di realizzazione di una ‘patch’ adeguata, stimato in circa due settimane. E fra le aziende a rischio ci sarebbero anche giganti del calibro di Apple, Amazon e Twitter. Associated Press ha provato a contattare le aziende in questione, che al momento hanno preferito non commentare.
Log4Shell, l’analisi di Sophos
(aggiornamento 13 dicembre 2021)
In merito alle notizie relative a Log4Shell, gli esperti di cybersecurity di Sophos, multinazionale attiva nel campo della sicurezza in rete, hanno specificato ulteriori dettagli sulla vulnerabilità, con semplici suggerimenti su come risolverla. “Tecnologie come IPS, WAF e il filtraggio intelligente della rete stanno contribuendo a riportare sotto controllo questa vulnerabilità”, ha spiegato Paul Ducklin, principal researcher di Sophos, sul blog ‘Naked security’.
“Ma l’elevato numero di modalità diverse – ha aggiunto – in cui il ‘trigger text’ di Log4Shell può essere codificato, la varietà di punti nel traffico di rete in cui queste stringhe possono apparire così come la grande varietà di server e servizi che potrebbero essere colpiti, stanno rendendo particolarmente complesso affrontare questa minaccia. La risposta migliore è semplice e chiara: applicare patch o mitigare i propri sistemi immediatamente“.
Sean Gallagher, senior threat researcher di Sophos, ha inoltre affermato che dal 9 dicembre Sophos “ha rilevato centinaia di migliaia di tentativi di eseguire codice da remoto utilizzando la vulnerabilità Log4Shell. Inizialmente, questi erano test di exploit Proof-of-Concept (PoC) da parte di ricercatori di sicurezza e potenziali cybercriminali. Così come molte scansioni online per la vulnerabilità”.
“Un diverso tipo di sfida per chi si occupa di sicurezza informatica”
“Questo – prosegue il ricercatore di Sophos – è stato rapidamente seguito da tentativi di installare cryptominer, tra cui la botnet Kinsing. Le informazioni più recenti suggeriscono che gli aggressori stiano cercando di sfruttare la vulnerabilità per esporre le chiavi utilizzate dagli account Amazon Web Service. Ci sono anche segni di cybercriminali che cercano di sfruttare la vulnerabilità per installare strumenti di accesso remoto nelle reti delle vittime, forse Cobalt Strike. Uno strumento chiave in molti attacchi ransomware”.
In soldoni, Log4Shell un tipo di sfida assai particolare per chi si occupa di sicurezza informatica. Perché, prosegue Gallagher, “è una libreria utilizzata da molti prodotti e può quindi essere presente negli angoli più oscuri dell’infrastruttura di un’organizzazione. Per esempio in qualsiasi software sviluppato internamente“.
Il rilascio immediato delle ‘patch’ è dunque indispensabile per risolvere il problema. “Accanto all’aggiornamento del software già rilasciato da Apache in Log4j 2.15.0 – continuano i ricercatori di Sophos –, i team di sicurezza IT devono fare una revisione approfondita delle attività sulla rete per individuare e rimuovere qualsiasi traccia di intrusi. Anche se sembra solo un malware fastidioso“.