Log4Shell, il bug che fa tremare Internet

Da qualche giorno, Log4Shell, una nuova minaccia per l’intero sistema informatico, sta mettendo in allarme gli esperti di sicurezza. Se questo bug dovesse infettare i sistemi, i criminali cyber sarebbero in grado di “eseguire codice da remoto“, permettendo agli hacker di alterare e danneggiare server, sistemi e macchine informatiche. Il bug, scoperto solo da qualche giorno e che era ignorato fino a qualche settimana fa, è stato scoperto all’interno della “libreria Log4j”, una sorta di biblioteca di log, fruita da molte app e da molti servizi online. Anche i sistemi di sicurezza, sia online che offline, usano i sistemi di log, con l’obiettivo di “poter visionare dei report in caso di errori o problemi”. E, proprio per questo motivo hanno sottolineato gli esperti, il Log4Shell potrebbe causare danni davvero rilevanti

John Graham-Cumming, Chief Technology Officer di Cloudfare, nel corso di un’intervista al portale online The Verge, parlando di Log4Shell, ha mostrato tutta la sua preoccupazione. E, a tal proposito, ha affermato: “Si tratta di una vulnerabilità molto seria, a causa della diffusione di Java e della libreria Log4j. C’è un’enorme quantità di software Java connessi alla rete e nei back-end dei sistemi”. Inoltre, riportando la memoria al passato, ha dichiarato che, proprio negli ultimi dieci anni, si erano verificati solo due situazioni di medesima gravità: “Heartbleed, che permetteva di ottenere informazioni da server teoricamente sicuri, e Shellshock, che consentiva di eseguire codice su una macchina remota”.

Vista la gravità della situazione, la libreria Log4j che, secondo il parere degli esperti è stata la fonte da cui si è propagato il bug Log4Shell, è stata già dotata di una patch che, di certo, ha reso meno pericolosa la minaccia. Tuttavia, il numero di sistemi da proteggere e aggiornare è molto elevato e richiede molto tempo. Per questo motivo, Log4Shell desta un’elevata preoccupazione, perché si tratta di un bug altamente pericoloso. Il ricercatore Marcus Hutchins, ritenuto un vero e proprio esperto del settore essendo stato capace di bloccare l’azione minacciosa del malware “WannaCry”, ha affermato che “milioni di app usano Log4j per il logging, e tutto ciò che un malintenzionato deve fare è far loggare all’applicazione una stringa speciale”. Infatti, agli specialisti del cyber crimine è sufficiente che un “software salvi una stringa di caratteri speciali all’interno del file log”. Si tratta, inoltre, di file che includono molti dati. E questo è un punto a vantaggio degli hacker, perché il bug appare più semplice da far funzionare

Il portale online Ars Technica, poi, ha aggiunto che “Log4Shell è stata inizialmente scovata su dei server di Minecraft, dove gli hacker riuscivano a sfruttarla semplicemente scrivendo dei messaggi in chat”, mentre la compagnia di sicurezza GreyNoise ha sottolineato che il bug Log4Shell era stato rintracciato già in “diversi server che cercano macchine vulnerabili all’exploit”. LunaSec ha aggiunto che anche Steam e iCloud sono soggetti agli attacchi di Log4Shell. Infine, Doug Lombardi, un membro di Valve, ha concluso che “gli ingegneri dell’azienda hanno controllato immediatamente le macchine e, grazie alle norme di sicurezza in merito a codice non attendibile, non credono che Steam sia a rischio”.