Log4j: l'utiliy di Java ha una grave vulnerabilità, a rischio anche i server di Minecraft

Problemi di sicurezza informatica per Java: nelle scorse ore, infatti, sono stati scoperte delle vulnerabilità di Log4j che permettono di eseguire codice maligno nelle finestre di logging legate all'utility. Log4j, infatti, è un tool open-source per Java per il debug ed il logging utilizzato in molte aziende e su diversi siti web.

In particolare, Minecraft è il programma più noto ad essere colpito dalla vulnerabilità: addirittura, l'esistenza del problema è stata portata a galla proprio dagli utenti di alcuni siti web legati al gioco di Mojang. È stato scoperto infatti che gli hacker possono eseguire del codice maligno sui server ed i client di Minecraft che utilizzano la versione Java del gioco, manipolando per esempio i messaggi scritti dagli utenti nelle chat dei server.

Se la falla si limitasse a Minecraft il problema sarebbe piuttosto circoscritto e facilmente risolvibile con un fix da parte di Microsoft o di Mojang, anche perché il popolare sandbox non è esente dagli attacchi hacker: lo scorso ottobre, per esempio, gli utenti di Minecraft sono stati vittima del ransomware Chaos, che però è stato arginato dall'intervento degli sviluppatori del gioco.

La questione, in questo caso, si complica perché la vulnerabilità non riguarda il codice di Minecraft, ma quello di Log4j, che viene utilizzata da migliaia di applicativi di ogni genere, complice la popolarità enorme di Java, di cui Minecraft è solo uno degli esponenti più noti. Secondo H.D. Moore, fondatore e CTO di Rumble, azienda specializzata in sicurezza informatica "La parte relativa a Minecraft sembra una tempesta perfetta, ma sospetto che continueremo a scoprire applicazioni affette dal problema e device a rischio ancora per molto tempo".

Secondo Moore, in particolare, la vulnerabilità diventa pericolosa se si considera che Log4j viene utilizzato da applicativi basati su versioni di Java antiquate, che potrebbero non essere più aggiornati da anni o che andrebbero riscritti da capo per arginare la falla: "il problema è grave soprattutto per gli ambienti legati ai vecchi runtime di Java, come le versioni front-end sul web di diverse apparecchiature di rete, vecchi ambienti che usano delle API non più supportate e server di Minecraft, che dipendono dalle versioni meno recenti del gioco per installare le mod", dice il CTO di Rumble.

Diverse piattaforme come Greynoise stanno valutando in queste ore la reale entità del problema in rete: man mano che la ricerca farà dei progressi, il portale renderà disponibili i dati sulla portata della vulnerabilità. Quello relativo a Log4j, comunque, non è l'unico problema di sicurezza di larga scala scoperto su internet di recente: al contrario, Google ha individuato una Botnet da milioni di device la scorsa settimana.