Sicurezza Informatica

LOG4SHELL di Benedetto Fucà

LOG4SHELL di Benedetto Fucà

Cos’è Log4Shell, una delle più grandi vulnerabilità riscontrate di recente e che sta creando gravi problemi sulla rete e sugli applicativi che racchiudono questa vulnerabilità. Questa minaccia rischia di mettere a dura prova la sicurezza dei sistemi informatici aziendali, non tanto per le azioni di rimedio da porre in essere, ma perché la superficie d’attacco potenziale è talmente vasta che richiede, in prima battuta una fase di mappatura per capire quali software contengono questa vulnerabilità. E se da un lato aziende strutturate possono permettersi di ricorrere ai ripari attraverso i l reparti IT, piccole aziende rischiano di trovarsi impreparate e facili prede, con conseguenze notevoli per via della peculiarità della vulnerabilità.

L’Agenzia Italiana per la Cybersecurity, il 10 dicembre 2021, ha lanciato sul proprio sito un Proof of Concept (PoC) identificando una vulnerabilità grave relativa al prodotto Apache Log4j. Si tratta di una vulnerabilità zero-day, all’interno del modulo open source Log4j di Apache Project. Uno dei framework di logging, più utilizzati, scritto in Java e distribuito da Apache Software Foundation che gli sviluppatori utilizzano per tenere traccia dell’attività del software nelle app cloud e aziendali. 

Secondo gli esperti, si tratta della più grande falla degli ultimi decenni e sta causando gravi problematiche a moltissime aziende che utilizzano software scritti con questa libreria. Questa falla, denominata Log4j 2, permette a chiunque abbia un minimo di esperienza con i computer di attaccare infettare e sfruttare questa vulnerabilità per prendere il controllo di un sistema infetto. La criticità di tale vulnerabilità è stata classificata dallo CSIRT con un valore d’impatto pari al valore Grave/Rosso., mentre l’agenzia MITRE l’ha classificato con un valore 10 su una scala di 10.
Nella nota pubblicata dall’Agenzia per la Cybersecurity, del 12 dicembre 2021, si riporta che sussiste “la presenza di una vasta e diversificata superficie di attacco sulla totalità della rete e considerando la sua semplicità di sfruttamento, anche da parte di attori non sofisticati, rende la segnalata vulnerabilità particolarmente grave".


Questa vulnerabilità è stata scoperta dopo che sono stati compromessi, per primi, i server del noto videogioco Minecraft, dove alcuni giocatori hanno iniziato a mandare delle stringhe di testo del codice per sfruttare la suddetta vulnerabilità. Ma non è solo il noto videogioco ad essere preso di mira: Twitter, Amazon, LinkedIn, Apple e molti altri sistemi possono essere aggrediti sfruttando questa vulnerabilità. Secondo, gli esperti, dal momento in cui è stata resa pubblica, gli attacchi che sfruttano questa criticità sono cresciuti in maniera esponenziale; il Check Point Research ha registrato “oltre 100 hack al minuto, 200.000 attacchi dopo 24 ore dalle rilevazioni iniziali, che sono diventati 800.000 dopo 72 ore, e a cui ne vanno aggiunti altri 40.000 registrati solo sabato scorso.”

Si stima che oltre 90 Paesi in tutte le regioni del mondo e oltre il 60% delle reti aziendali risultano colpite. In Italia la situazione si manifesta con oltre il 43% delle reti aziendali che hanno subito un tentativo di exploit.

pexels markus spiske 177598

Analizzando le modalità con cui essa viene sfruttata, si nota che la maggior parte degli attacchi si concentrerebbe sull'installazione di estrattori di cryptovalute e tentativi di attacchi per distribuire Trojan, Botnet e Ransomware, questi ultimi sempre più utilizzarti per rubare dati sensibili, documenti di identità, contratti e chiedere riscatti. Secondo quanto sostenuto dai ricercatori di Bitdefender, i criminali informatici stanno tentando di diffondere Khonsari, una nuova famiglia di ransomware, per colpire i sistemi basati su Windows e il Trojan (RAT) di accesso remoto Orcus. La maggior parte dei primi attacchi finora ha preso di mira i server Linux e sarebbero principalmente di “reverse bash shell”, tecnica utilizzata per guadagnare un punto d'appoggio nei sistemi per sfruttarli in un momento successivo.

Inoltre, sarebbero molte e diversificate applicazioni che utilizzano il framework in esecuzione su sistemi operativi come Windows, Linux, macOS e FreeBSD. Java, inoltre, alimenta web cam, sistemi di navigazione per auto, lettori DVD e set-top box, vari terminali e persino parchimetri e dispositivi medici. Di conseguenza, questa vulnerabilità potrebbe avere un effetto catena molto significativo e risulta difficile prevedere la portata totale e l'impatto a lungo termine della vulnerabilità.


Allo stato attuale, Apache ha rilasciato già la terza patch, dopo le che le prime due rilasciate avevano al loro interno altre vulnerabilità. La problematica non sta nella difficoltà di andare a “riscrivere” il codice, quanto nel fatto che sono quasi tutte le applicazioni che si trovano all’interno di un perimetro aziendale che sono colpite e questo fa si che ci sia dietro un lavoro meticoloso.

Allo stato attuale, gli esperti consigliano non solo di seguire gli aggiornamenti di patch ma di effettuare back-up di dati personali, in modo tale da poter avere sempre una copia in caso si subisse un attacco.

Questa vulnerabilità deve far riflettere sulla sempre più dipendenza dai sistemi informatici che a sua volta deve essere accompagnata da una cultura della sicurezza che pone il dato al primo posto. Il rischio che questa vulnerabilità venga sfruttata dagli hacker è sotto gli occhi di tutti, e se da un lato, aziende robuste composte da un reparto IT proattivo e aggiornato sul tema possono limitare le conseguenze di questa vulnerabilità; il discorso si complica per aziende piccole che hanno adottato applicazioni che vanno ad impattare il proprio business e che contengono questa vulnerabilità che ha come caratteristica quella di sfruttare e andare ad impattare sui log.

Infatti, gli aggressori possono inviare richieste in cui le intestazioni HTTP sono "spruzzate" con stringhe dannose, costruite per stuzzicare l'applicazione ricevente nell'esecuzione della sostituzione del messaggio, a quel punto l'applicazione attiva la vulnerabilità e carica o esegue il codice remoto.

             mika baumeister J5yoGZLdpSI unsplash

Secondo gli esperti, nonostante tale vulnerabilità venga sanata, la grossa mole di attacchi che sono stati portati avanti durante questa fase, comporterà delle ripercussioni notevoli che protrarranno i propri effetti anche nel lungo- medio periodo. Questa situazione è dovuta anche dal fatto che: come detto sopra, sfruttare questa vulnerabilità richiede competenze basilari, la superfice delle applicazioni che potenzialmente possono essere attaccate è notevole ed inoltre è difficoltoso andare ad intervenire su ciascuna delle singole applicazioni, senza il rischio che venga dimenticata qualcuna.

Ma la problematica investe anche il modo con cui si va a scrivere un determinato codice, sfruttando librerie open source  e quindi lo sviluppo del software, aprendo un dibattito alla luce di quella che può essere definita come la più grande falla IT.

RIFERIMENTI

logo icted

ICTEDMAGAZINE

Information Communicatio
Technologies Education Magazine

Registrazione al n.157 del Registro Stam­pa presso il Tribunale di Catanzaro del 27/09/2004

Rivista trimestrale  

Direttore responsabile/Editore-responsabile intellettuale

Luigi A. Macrì