Da Wired.it :
Una vulnerabilità in una libreria di log ampiamente utilizzata è diventata la causa di un vero e proprio tracollo della sicurezza informatica, che sta colpendo i sistemi digitali in tutta la rete. I criminali informatici stanno già tentando di sfruttarla, ma anche se le patch vengono pubblicate, i ricercatori avvertono che la falla potrebbe avere gravi ripercussioni in tutto il mondo.
Il problema risiede in Log4j, un onnipresente framework di logging open source di Apache logging che gli sviluppatori utilizzano per tenere un registro delle attività all’interno di un’applicazione. I responsabili della sicurezza si stanno affrettando a tappare la falla, che può essere facilmente sfruttata per prendere il controllo dei sistemi vulnerabili da remoto. Allo stesso tempo, i criminali stanno attivamente scansionando internet alla ricerca dei sistemi colpiti. Alcuni hanno già sviluppato strumenti che tentano automaticamente di sfruttare il bug, così come worms che possono diffondersi indipendentemente da un sistema vulnerabile ad un altro nelle giuste condizioni.
Che cos’è Log4j
Log4j è una libreria Java, e mentre il linguaggio di programmazione è meno popolare ultimamente tra gli utenti, è ancora in uso molto ampio nei sistemi aziendali e nelle applicazioni web. I ricercatori hanno detto a Wired venerdì 10 dicembre che si aspettano che molti servizi mainstream siano colpiti.
Per esempio, Minecraft, di proprietà di Microsoft, venerdì 10 dicembre ha pubblicato istruzioni dettagliate su come i giocatori della versione Java del gioco dovrebbero applicare una patch ai loro sistemi. “Questo exploit colpisce molti servizi, tra cui Minecraft Java Edition“, si legge nel post. L’amministratore delegato di Cloudflare, Matthew Prince, ha twittato venerdì che il problema era “così grave“ che la società di infrastrutture internet avrebbe provato a lanciare almeno un certo livello di protezione anche per i clienti sul suo livello di servizio gratuito.
Tutto quello che un attaccante deve fare per sfruttare la falla è inviare strategicamente una stringa di codice malevolo che alla fine viene registrato dalla versione 2.0 di Log4j o da una più avanzata. L’exploit permette a un attaccante di caricare a piacimento codice Java su un server, permettendo così di prendere il controllo.
Che rischi si prospettano
“È un errore di progettazione di proporzioni catastrofiche“, dice Free Wortley, amministratore delegato della piattaforma di sicurezza dati open source LunaSec. I ricercatori della società hanno pubblicato un avviso e una valutazione iniziale della vulnerabilità Log4j giovedì 9 dicembre.