Log4Shell: la vulnerabilità ha già raggiunto il livello di gravità 10/10

Log4Shell: la vulnerabilità ha già raggiunto il livello di gravità 10/10
di

Sono passati solo quattro giorni dalla scoperta della vulnerabilità Log4Shell del tool di logging Log4j, usato in moltissimi siti web e applicativi basati su Java. La vulnerabilità è stata scoperta su Minecraft, ma nel giro di poche ore gli analisti hanno riscontrato la sua presenza praticamente ovunque su Internet.

Poche ore dopo la sua scoperta, infatti, è emerso che i server di Amazon, Apple e Microsoft non erano al sicuro da attacchi capaci di sfruttare la vulnerabilità Log4Shell, nonostante l'impegno del produttore Apache per la risoluzione della falla: Apache, infatti, è il creatore di Log4j, il tool "incriminato" per la vulnerabilità, che viene utilizzato praticamente ovunque nel mondo dell'informatica.

A quattro giorni di distanza dalla scoperta della vulnerabilità di Log4j, i laboratori di analisi Juniper Threat Labs hanno condiviso una spiegazione del funzionamento della falla e di come dei malintenzionati e degli hacker possano approfittarne. La spiegazione di Juniper Threat Labs, resa disponibile sotto forma di diagramma anche per gli utenti meno esperto, è disponibile nell'immagine in calce.

La vulnerabilità, che al momento è chiamata CVE-2021-44228, ha un rating di gravità pari a 10/10, mentre l'esperto di sicurezza informatica Matthew Prince ha stabilito che essa sarebbe stata nota nella comunità degli hacker e dei cybercriminali già dai primissimi giorni di dicembre, ben nove giorni prima che fosse stata scoperta dagli esperti di sicurezza.

Poco dopo la scoperta della vulnerabilità di Log4j, l'agenzia di sicurezza Greynoise ha identificato dei bot di scansione di tutto internet per la ricerca di server vulnerabili alla falla, sui quali poi sarebbero stati installati dei malware capaci di effettuare dei mining di criptovalute o di creare una botnet per altri scopi. Secondo gli esperti, le aziende colpite dovranno investire grandi somme di denaro molto rapidamente per risolvere il problema, evitando che i dati dei propri clienti vengano messi allo scoperto: la questione è ancora più grave se consideriamo che, tra i server vulnerabili, vi sono quelli di banche, assicurazioni e grandi multinazionali.

Un attacco particolarmente grave si è verificato nel weekend contro i server di Kronos, un tool di gestione delle risorse umane e dei pagamenti utilizzato in molte aziende, soprattutto negli Stati Uniti. L'attacco è stato così grave che ancora non si conosce l'entità dei danni, né se vi siano state delle fughe di dati o, peggio, di denaro. Intanto, numerose aziende che usavano le soluzioni di Kronos si sono trovate impossibilitate a fornire regolari pagamenti per gli stipendi dei dipendenti.

Stando a quanto riporta la stessa Kronos, il blackout dei servizi potrebbe durare settimane, mentre l'azienda ha incoraggiato i suoi clienti ad utilizzare temporaneamente i servizi di altri fornitori. Un rappresentante dell'azienda, in particolare, ha dichiarato "Al momento non sappiamo quando potremo ripristinare il sistema, ed è probabile che il problema possa richiedere alcuni giorni per essere risolto. Continuiamo a raccomandare ai nostri clienti di valutare piani alternativi per il processing dei dati relativi alle presenze ed agli stipendi, nonché per ogni altra operazione rilevante per le proprie organizzazioni".

Log4Shell: la vulnerabilità ha già raggiunto il livello di gravità 10/10