Questo modulo open source di Apache Project, si trova al cuore della maggioranza delle applicazioni ospitate dai server di tutto il mondo e, dice il comunicato dell’ACN, “Ciò comporta la presenza di una vasta e diversificata superficie di attacco sulla totalità della rete Internet e, considerata la sua semplicità di sfruttamento anche da parte di attori non sofisticati, rende la vulnerabilità particolarmente grave”. Log4j è ampiamente utilizzata nello sviluppo di sistemi aziendali, ed è inclusa in moltissimi software open-source e spesso direttamente integrata in importanti applicazioni software. Inoltre, essendo multipiattaforma, lo sfruttamento della vulnerabilità si ripercuote sia su Windows che su Linux e sono da considerare potenzialmente vulnerabili anche i sistemi di backend e i microservizi. Per capire l’entità del problema basti pensare che Java è su circa 3 miliardi di dispositivi. E Log4j, sviluppato da Apache, è usato da quasi tutti i programmatori. Perfino Ingenuity, l’elicottero della Nasa atterrato sul suolo di Marte lo scorso febbraio, ha un software che usa Log4j.
Ricapitolando, la vulnerabilità risiede nel modulo di messaggistica del prodotto software e consente l’esecuzione di codice arbitrario da remoto sul server che utilizza la libreria portando alla sua completa compromissione senza necessità di autenticazione. Un bug come un altro? Proprio per niente, perché il problema riguarda sia le aziende e le istituzioni che i singoli cittadini, in quanto, come riporta il sito dell’AGI, diversi esperti hanno evidenziato come il suo sfruttamento potrebbe presto riguardare anche il singolo utente, un possessore di smartphone, o di uno smartwatch: “Hacker malevoli potrebbero diffondere link corrotti e aprire tramite questa vulnerabilità delle backdoor sui dispositivi delle persone, telefoni, tablet, qualsiasi oggetto connesso alla rete. E una volta aperta una backdoor può fare quello che vuole”.
E infatti mentre scriviamo giungono notizie di uno sfruttamento di questa vulnerabilità da Twitter e Minecraft soprattutto per estrarre cryptomonete utilizzando la potenza di calcolo delle macchine compromesse. I tecnici dell’Agenzia per la cybersicurezza nazionale, in costante contatto con le omologhe agenzie europee ed internazionali, raccomandano, vista la pericolosità della vulnerabilità, “di ridurre al minimo la sua esposizione su Internet applicando le necessarie misure ai propri server nel più breve tempo possibile”.
Ma all’allarme si aggiunge un’altra inquietudine. A segnalare che la vulnerabilità del software poteva essere facilmente sfruttata è stato un ricercatore cinese. Secondo Enrico Frumento, ingegnere e ricercatore di cybersecurity del Cefriel ci si deve chiedere da quanto tempo il metodo di sfruttamento è noto nel paese del Dragone: “Senza scadere nel facile complottismo segnalo solo che per la legge cinese in vigore da settembre che regola la gestione delle vulnerabilità informatiche, all’articolo 9 impone di mantenere segreti i dettagli delle falle di sicurezza fino a quando non siano disponibili i rimedi o finché il governo non conceda un permesso speciale per renderle pubbliche”. A leggere la norma si comprende infatti come ai ricercatori cinesi non sia permesso “esagerare deliberatamente i pericoli e i rischi di un bug” ma anche che “è vietato fornire informazioni riservate sulla vulnerabilità della sicurezza dei prodotti di rete a organizzazioni o individui esteri diversi dai fornitori di prodotti di rete.”
Lo CSIRT Italia sta pubblicando aggiornamenti di sicurezza sul portale pubblico https://csirt.gov.it, incluse anche le procedure per risolvere la citata vulnerabilità, ai quali i responsabili tecnici dei servizi IT pubblici e privati sono invitati a fare riferimento, e consiglia di installare il prodotto Log4j 2 nella versione 2.15.0, oppure qualora non fosse possibile, di “ridurre la superficie di attacco”, prima di subito. Il servizio, da poco passato sotto l’egida dell’ACN dal DIS, il dipartimento che sovrintende i nostri servizi segreti, segnala specifiche misure di mitigazione disponibili per vari prodotti, ad esempio un catalogo alfabetico dei prodotti e delle aziende interessate dalla minaccia.
Anche il Microsoft Threat Intelligence Center (MSTIC) è al lavoro e ha sviluppato una serie di linee guida per la ricerca, l’individuazione e la prevenzione della vulnerabilità. In attesa di evoluzioni di questo scenario una domanda rimane: Se la prova di una vulnerabilità simile era presente su GitHub dal 16 Aprile 2021, perché abbiamo lasciato che tutto ciò accadesse? Secondo Pierluigi Paganini, esperto di cybersicurezza, “É lecito chiedersi chi, e come, abbia già sfruttato in passato questa falla. La vulnerabilità è stata infatti scoperta mesi addietro e nel frattempo un attore malevolo avrebbe potuto prendere di mira sistemi di tutto il mondo esfiltrando informazioni sensibili e confidenziali in campagne di cyber-spionaggio. Per questo motivo andrebbero condotte analisi approfondite per cercare evidenze di eventuali compromissioni pregresse, soprattutto in sistemi di aziende ed organizzazioni che operano in settori critici.”
