Un numero enorme di attacchi informatici sta sfruttando un pericoloso difetto chiamato log4shell nel software log4j. Un alto funzionario della sicurezza informatica degli Stati Uniti è stato citato in Cyberscoop dicendo che è uno degli attacchi più gravi della sua carriera, “se non il più grave”. Ecco cosa lo rende così brutto e come ti influenza.
Cos’è Log4j?
Il bug log4j (chiamato anche vulnerabilità log4shell e noto con il numero CVE-2021-44228) è un punto debole in alcuni dei software per server Web più utilizzati, Apache. Il bug si trova nella libreria open source log4j, una raccolta di comandi preimpostati che i programmatori utilizzano per velocizzare il proprio lavoro e impedire loro di dover ripetere codice complicato.
Le biblioteche sono la base di molti, se non la maggior parte, dei programmi in quanto sono grandi salvatempo. Invece di dover scrivere un intero blocco di codice più e più volte per determinate attività, scrivi solo alcuni comandi che dicono al programma che devono prendere qualcosa da una libreria. Considerali come scorciatoie che puoi inserire nel tuo codice.
Tuttavia, se qualcosa va storto, come nella libreria log4j, significa che tutti i programmi che utilizzano quella libreria sono interessati. Sarebbe grave in sé e per sé, ma Apache funziona su molti server e intendiamo un quantità. W3Techs stima che il 31,5% dei siti Web utilizzi Apache e BuiltWith afferma di conoscere più di 52 milioni di siti che lo utilizzano.
Come funziona il difetto di Log4j
Sono potenzialmente molti server che hanno questo difetto, ma c’è di peggio: come funziona il bug log4j è che puoi sostituire una singola stringa di testo (una riga di codice) che gli fa caricare i dati da un altro computer su Internet.
Un hacker abbastanza decente può alimentare la libreria log4j con una riga di codice che dice a un server di prelevare dati da un altro server, di proprietà dell’hacker. Questi dati potrebbero essere qualsiasi cosa, da uno script che raccoglie dati sui dispositivi collegati al server, come il browser fingerprint, ma peggio, o addirittura prende il controllo del server in questione.
L’unico limite è l’inventiva dell’hacker, l’abilità entra a malapena in quanto è così facile. Finora, secondo Microsoft, le attività degli hacker hanno incluso mining di criptovalute, furto di dati e dirottamento di server.
Questo difetto è un giorno zero, il che significa che è stato scoperto e sfruttato prima che fosse disponibile una patch per risolverlo.
Se sei interessato a leggere qualche dettaglio tecnico in più, ti consigliamo l’interpretazione del blog di Malwarebytes su log4j.
Impatto sulla sicurezza di Log4j
L’impatto di questo difetto è massiccio: un terzo dei server del mondo potrebbe essere interessato, compresi quelli di grandi aziende come Microsoft, iCloud di Apple e i suoi 850 milioni di utenti. Sono interessati anche i server della piattaforma di gioco Steam. Anche Amazon ha server in esecuzione su Apache.
Non è nemmeno solo la linea di fondo aziendale che potrebbe essere danneggiata: ci sono molte aziende più piccole che eseguono Apache sui loro server. Il danno che un hacker potrebbe fare a un sistema è già abbastanza grave per un’azienda multimiliardaria, ma una piccola azienda potrebbe essere spazzata via completamente.
Inoltre, poiché il difetto è stato ampiamente pubblicizzato nel tentativo di convincere tutti a ripararlo, è diventato una specie di frenesia alimentare. Oltre ai soliti minatori di criptovalute che cercano di schiavizzare nuove reti per accelerare le loro operazioni, anche hacker russi e cinesi si stanno unendo al divertimento, secondo diversi esperti citati nel Financial Times (ci scusiamo per il paywall).
Tutto ciò che chiunque può fare ora è creare patch che risolvono il difetto e implementarle. Tuttavia, gli esperti stanno già dicendo che ci vorranno anni per correggere completamente tutti i sistemi interessati. Non solo i professionisti della sicurezza informatica devono scoprire quali sistemi hanno subito il difetto, ma devono essere effettuati controlli per vedere se il sistema è stato violato e, in tal caso, cosa hanno fatto gli hacker.
Anche dopo l’applicazione delle patch, c’è la possibilità che qualunque cosa gli hacker si siano lasciati alle spalle continui a fare il suo lavoro, il che significa che i server dovranno essere eliminati e reinstallati. Sarà un lavoro enorme e non uno che può essere fatto in un giorno.
In che modo Log4j ti influenza?
Tutto quanto sopra potrebbe sembrare quello che può essere descritto solo come una cyber-apocalisse, ma finora abbiamo parlato solo di aziende, non di individui. Questo è ciò su cui si è concentrata la maggior parte della copertura. Tuttavia, c’è un rischio anche per le persone normali, anche se non gestiscono un server.
Come accennato, gli hacker hanno rubato dati da alcuni server. Se l’azienda in questione ha protetto i dati correttamente, non dovrebbe essere un grosso problema, perché gli aggressori avrebbero comunque bisogno di decrittografare i file, un compito non facile. Tuttavia, se i dati delle persone sono stati salvati in modo improprio, hanno reso la giornata di un hacker.
I dati in questione potrebbero essere qualsiasi cosa, in realtà, come nomi utente, password o persino il tuo indirizzo e attività su Internet: le informazioni sulla carta di credito sono solitamente crittografate, per fortuna. Sebbene sia troppo presto per dire ora quanto sarà grave, sembra che pochissime persone saranno in grado di evitare le ricadute di log4j.
