LOG4SHELL: LA FALLA CHE TIENE SOTTO SCACCO INTERNET
E’ in arrivo la patch risolutiva
Avviandoci verso la fine dell’anno, possiamo affermare che il 2021 è stato l’anno d’oro degli attacchi informatici e delle minacce alla privacy. Infatti, è stata recentemente trovata una vulnerabilità di progettazione in una delle librerie di codici Java più usate al mondo: Apache Log4J. La vulnerabilità in questione (chiamata Log4Shell e classificata come RCE, un esecutore remoto di codice), si avrebbe proprio nel momento in cui l’utente effettuerebbe il login in una qualunque piattaforma che usi questa libreria, eseguendo un codice arbitrario potenzialmente capace di prendere il pieno controllo di un sistema. Essa è stata valutata di gravità 10 su una scala da 1 a 10, ovvero il massimo, dalla Apache Software Foundation: l’organismo non profit che dal 1999 sovrintende quella parte di programmi comuni, piccoli pezzi di software utilizzati da quasi qualunque server di Internet.
Tale pericolosità è data soprattutto dall’altissima diffusione della libreria, in quanto viene da milioni e milioni di server in tutto il mondo tra cui quelli di aziende, governi e tutti i Big della tecnologia, come Amazon, Apple, Microsoft, ecc... Tutto questo anche perché la quasi totalità della tecnologia odierna si basa su dei sistemi “opensource”, che integrano decine di librerie che vengono sviluppate e mantenute sia da azienda che da volontari, che hanno iniziato un progetto perché gli era utile e poi hanno deciso di rilasciarlo per dare un senso a questo progetto e semplificare la vita anche di altri. Se una di queste librerie dovesse avere un serio problema, l’intero sistema tecnologico crollerebbe come un castello di carte.
Ne abbiamo avuto un esempio con il primo attacco di rilievo che ha coinvolto Minecraft, uno dei giochi più famosi di proprietà di Microsoft: è stato a causa di diversi giocatori hanno iniziato a fare scherzi inviando stringhe di codice sulla chat di gioco, che si è scoperta la falla. Log4J dovrebbe mostrare e gestire solo stringhe di testo, ma quando si trova davanti ad un messaggio formattato (con ad esempio caratteri speciali, quali ${}) in modo particolare lo interpreta come un indirizzo Internet, lo raggiunge sfruttando la Java Naming and Directory Interface (JNDI), scarica il payload e lo esegue con i privilegi del programma principale. Infine, l’aver reso pubblica la falla ha permesso di affrontarla più rapidamente, permettendo la creazione ed il rilascio dell’aggiornamento (la cosiddetta “patch”) 2.15 e subito dopo della patch 2.16, che disabilita tutto il supporto JNDI per impostazione predefinita e rimuove completamente la gestione della ricerca dei messaggi.
Lascia un commento
NB: I commenti vengono approvati dalla redazione e in seguito pubblicati sul giornale, la tua email non verrà pubblicata.
