Una delle librerie più utilizzate di Java contiene una grave falla, un vero e proprio errore di progettazione, talmente grave che secondo gli analisti sarebbe potenzialmente in grado di provocare una vera catastrofe informatica. La stima è che sia presente in oltre 3 miliardi di dispositivi. Vediamo di cosa si tratta e quelle può essere la reale portata del problema.
Gli attuali sistemi operativi e tutti i software moderni integrano e si appoggiano su un gran numero di librerie spesso open-source. Si tratta di librerie che vengono sviluppate da società o da programmatori volontari, e che poi vengono rilasciate al pubblico per diventare un patrimonio comune open-source.
I programmatori si appoggiano su queste librerie per evitare di riscrivere codice già scritto, esistente, ampiamente testato e funzionante, mantenuto da una vasta community di società ed utenti.
E’ proprio una di queste librerie la causa della vulnerabilità chiamata Log4Shell.
La libreria incriminata si chiama log4J 2, creata originariamente dallo sviluppatore svizzero Ceki Gülcü e passata poi alla Apache Software Foundation, è divenuta probabilmente la libreria di “Log” più utilizzata nel mondo del linguaggio Java. Come dicevamo sopra, si stima che i dispositivi che la sfruttano siano almeno 3 miliardi e alcuni analisti dicono che si prospetti una possibile catastrofe informatica di enormi proporzioni.
Tra i siti, i serivizi e le app che fanno uso di questa libreria troviamo iCloud, Steam, Minecraft, Twitter e Cloudflare, tanto per citarne alcuni tra i più noti. Classificata come critica, la falla consente agli hacker l’esecuzione arbitraria di codice da remoto ed è certo che sia stata ampiamente sfruttata.
La stessa Apache Software Foundation l’ha valutata con un punteggio di 10 sulla propria scala di rischio, questo a causa della facilità con cui potrebbe essere sfruttata e per la grande diffusione. Il CEO della società di sicurezza informatica Tenable Amit Yoran l’ha definita “la vulnerabilità più grande e più critica dell’ultimo decennio“.
La falla è venuta fuori grazie a Minecraft, in quanto da alcune settimane in Cina si verificavano scherzi messi in atto da alcuni utenti a danno di altri utenti, inviando semplicemente delle stringhe di codice nella chat del gioco. Alcuni ricercatori hanno così scoperto in breve tempo che ciò era possibile proprio per una falla della libreria Log4j, una delle più utilizzate in tutto il mondo.
Log4j dovrebbe gestire solo stringhe di testo, ma quando si trova ad interpretare del codice formattato in modo specifico, lo interpreta come un indirizzo internet e si collega ad esso sfruttando la Java Naming and Directory Interface. A quel punto scarica ed esegue il malware appositamente caricato dal malintenzionato, sfruttando i privilegi del programma principale. In pratica è sufficiente inserire un comando all’interno dei caratteri $´{} affinchè esso diventi un comando eseguito.
Dopo questa scoperta e la sua divulgazione, società che si occupano di sicurezza informatica hanno individuato migliaia di bot attivi nella ricerca in rete di dispositivi vulnerabili, con lo scopo di caricare malware, ottenere dati o installare strumenti per il minino delle criptovalute.
A questo punto è scattato l’allarme rosso e le società hanno iniziato a lavorare nel tentativo di arginare e risolvere il problema. Nella realtà, la pericolosità di questa falla sta nel fatto che mentre alcune società rilasceranno rapidamente degli aggiornamenti, utilizzando la versione aggiornata della libreria, altre realtà potrebbero aver bisogno di più tempo (anche settimane o mesi) prima di poter utilizzare questa versione aggiornata, altre ancora potrebbero non aggiornare mai, lasciando di fatto il bug aperto.
I primi aggiornamenti rilasciati dalla Apache Foundation non hanno risolto completamente la faccenda, per questo motivo gli specialisti di Praetorian e della compagnia di sicurezza Cloudflare, hanno spiegato che gli amministratori di sistemi e server devono aggiornare al pacchetto Log4J 2.16.0 per essere sicuri di proteggersi dall’eventuale intrusione di terzi nelle loro reti.
Secondo quanto riportato da Eclectic Light Company, la falla era presente anche in iCloud. I ricercatori hanno dimostrato la vulnerabilità del servizio Apple durante la connessione tramite web nei giorni 9 e 10 dicembre, mentre il giorno seguente, l’11 dicembre, il meccanismo non funzionava più, a dimostrazione che la società si è mossa molto rapidamente.
MacOS non sembra essere stato interessato dal problema.
How to Detect Log4Shell – Fix Your Environment
Seguici sui social e sul nostro canale YouTube:
Le offerte del giorno di Amazon.it
Seguendo i link sponsorizzati Amazon, tu non spenderai un centesimo in più, mentre noi riceveremo una piccola commissione, che investiremo nel mantenimento e nella crescita del sito.
Gli ultimi articoli di Nonsolomac:
- Wonderlust, l’evento Apple del 12 settembre
- WWDC 2023, l’inizio di una nuova era
- L’Easter Egg nell’invito alla WWDC 2023 che svela il visore AR/VR
- Inserimento rapido di testo editabile nelle note di iOS
- HomePod mini rileverà temperatura e umidità
Aiutaci a far conoscere sempre più Nonsolomac, condividi questo articolo sui tuoi social preferiti:
