LOG4SHELL: LA FALLA CHE TIENE SOTTO SCACCO INTERNET

E’ in arrivo la patch risolutiva

1639676541copertina.jpg

Avviandoci verso la fine dell’anno, possiamo affermare che il 2021 è stato l’anno d’oro degli attacchi informatici e delle minacce alla privacy. Infatti, è stata recentemente trovata una vulnerabilità di progettazione in una delle librerie di codici Java più usate al mondo: Apache Log4J. La vulnerabilità in questione (chiamata Log4Shell e classificata come RCE, un esecutore remoto di codice), si avrebbe proprio nel momento in cui l’utente effettuerebbe il login in una qualunque piattaforma che usi questa libreria, eseguendo un codice arbitrario potenzialmente capace di prendere il pieno controllo di un sistema. Essa è stata valutata di gravità 10 su una scala da 1 a 10, ovvero il massimo, dalla Apache Software Foundation: l’organismo non profit che dal 1999 sovrintende quella parte di programmi comuni, piccoli pezzi di software utilizzati da quasi qualunque server di Internet.

cms_24153/foto_1.jpg

Tale pericolosità è data soprattutto dall’altissima diffusione della libreria, in quanto viene da milioni e milioni di server in tutto il mondo tra cui quelli di aziende, governi e tutti i Big della tecnologia, come Amazon, Apple, Microsoft, ecc... Tutto questo anche perché la quasi totalità della tecnologia odierna si basa su dei sistemi “opensource”, che integrano decine di librerie che vengono sviluppate e mantenute sia da azienda che da volontari, che hanno iniziato un progetto perché gli era utile e poi hanno deciso di rilasciarlo per dare un senso a questo progetto e semplificare la vita anche di altri. Se una di queste librerie dovesse avere un serio problema, l’intero sistema tecnologico crollerebbe come un castello di carte.

cms_24153/foto_2.jpg

Ne abbiamo avuto un esempio con il primo attacco di rilievo che ha coinvolto Minecraft, uno dei giochi più famosi di proprietà di Microsoft: è stato a causa di diversi giocatori hanno iniziato a fare scherzi inviando stringhe di codice sulla chat di gioco, che si è scoperta la falla. Log4J dovrebbe mostrare e gestire solo stringhe di testo, ma quando si trova davanti ad un messaggio formattato (con ad esempio caratteri speciali, quali ${}) in modo particolare lo interpreta come un indirizzo Internet, lo raggiunge sfruttando la Java Naming and Directory Interface (JNDI), scarica il payload e lo esegue con i privilegi del programma principale. Infine, l’aver reso pubblica la falla ha permesso di affrontarla più rapidamente, permettendo la creazione ed il rilascio dell’aggiornamento (la cosiddetta “patch”) 2.15 e subito dopo della patch 2.16, che disabilita tutto il supporto JNDI per impostazione predefinita e rimuove completamente la gestione della ricerca dei messaggi.

Francesco Maria Tiberio

Tags:

Lascia un commento



Autorizzo il trattamento dei miei dati come indicato nell'informativa privacy.
NB: I commenti vengono approvati dalla redazione e in seguito pubblicati sul giornale, la tua email non verrà pubblicata.

International Web Post

Direttore responsabile: Attilio miani
Condirettore: Antonina Giordano
Editore: Azzurro Image & Communication Srls - P.iva: 07470520722

Testata registrata presso il Tribunale di Bari al Nrº 17 del Registro della Stampa in data 30 Settembre 2013

info@internationalwebpost.org
Privacy Policy

Collabora con noi

Scrivi alla redazione per unirti ad un team internazionale di persone dinamiche ed appassionate!

Le collaborazioni con l’International Web Post sono a titolo gratuito, salvo articoli, contributi e studi commissionati dal Direttore responsabile sulla base di apposito incarico scritto secondo modalità e termini stabiliti dallo stesso.


Seguici sui social

Newsletter

Lascia la tua email per essere sempre aggiornato sui nostri contenuti!

Iscriviti al canale Telegram