Una vulnerabilità di Log4J ha dato fuoco a Internet

Una vulnerabilità in una libreria di registrazione ampiamente utilizzata è diventata un vero e proprio crollo della sicurezza, colpendo i sistemi digitali su Internet. Gli hacker stanno già tentando di sfruttarlo, ma anche quando emergono soluzioni, i ricercatori avvertono che il difetto potrebbe avere gravi ripercussioni in tutto il mondo.

Il problema risiede in Log4j, un framework di logging Apache onnipresente e open source che gli sviluppatori utilizzano per tenere un registro delle attività all’interno di un’applicazione. I soccorritori si stanno adoperando per correggere il bug, che può essere facilmente sfruttato per assumere il controllo dei sistemi vulnerabili da remoto. Allo stesso tempo, gli hacker stanno scansionando attivamente Internet alla ricerca di sistemi interessati. Alcuni hanno già sviluppato strumenti che tentano automaticamente di sfruttare il bug, così come worm che possono diffondersi indipendentemente da un sistema vulnerabile a un altro nelle giuste condizioni.

Log4j è una libreria Java e, sebbene il linguaggio di programmazione sia meno popolare tra i consumatori in questi giorni, è ancora ampiamente utilizzato nei sistemi aziendali e nelle app Web. I ricercatori hanno detto a WIRED venerdì che si aspettano che molti servizi tradizionali saranno interessati.

Ad esempio, di proprietà di Microsoft Minecraft di venerdì postato istruzioni dettagliate su come i giocatori della versione Java del gioco dovrebbero aggiornare i propri sistemi. “Questo exploit colpisce molti servizi, incluso Minecraft Java Edition”, si legge nel post. “Questa vulnerabilità rappresenta un potenziale rischio che il tuo computer venga compromesso.” Matthew Prince, CEO di Cloudflare twittato Venerdì che il problema era “così grave” che la società di infrastrutture Internet avrebbe cercato di implementarlo almeno un po’ di protezione anche per i clienti del livello di servizio gratuito.

Tutto quello che un attaccante deve fare per sfruttare il difetto è inviare strategicamente una stringa di codice dannoso che alla fine viene registrata da Log4j versione 2.0 o successiva. L’exploit consente a un utente malintenzionato di caricare codice Java arbitrario su un server, consentendogli di assumere il controllo.

“È un errore di progettazione di proporzioni catastrofiche”, afferma Free Wortley, CEO della piattaforma di sicurezza dei dati open source LunaSec. Ricercatori in azienda pubblicato un avviso e la valutazione iniziale della vulnerabilità Log4j giovedì.

Minecraft gli screenshot che circolano sui forum sembrano mostrare i giocatori che sfruttano la vulnerabilità del Minecraft funzione chat. Venerdì, alcuni utenti di Twitter hanno iniziato a cambiare i loro nomi visualizzati in stringhe di codice che potrebbero attivare l’exploit. Un altro utente ha cambiato il nome del suo iPhone fare lo stesso e ha presentato la scoperta ad Apple. I ricercatori hanno detto a WIRED che l’approccio potrebbe potenzialmente funzionare anche utilizzando la posta elettronica.

Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti ha emesso un avviso sulla vulnerabilità di venerdì, come ha fatto CERT australiano. L’organizzazione governativa per la sicurezza informatica della Nuova Zelanda mettere in guardia ha notato che la vulnerabilità sarebbe stata attivamente sfruttata.

“È piuttosto dannatamente brutto”, dice Wortley. “Così tante persone sono vulnerabili e questo è così facile da sfruttare. Ci sono alcuni fattori attenuanti, ma essendo questo il mondo reale ci saranno molte aziende che non sono sulle versioni attuali che si stanno affrettando a risolvere questo problema.

Apache valuta la vulnerabilità con una gravità “critica” e pubblicato patch e mitigazioni venerdì. L’organizzazione afferma che Chen Zhaojun di Alibaba Cloud Security Team ha rivelato per primo la vulnerabilità.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.