Focus On: Vulnerabilità Log4Shell e i rischi per la sicurezza informatica
Il 9 dicembre è stata segnalata pubblicamente una delle vulnerabilità più importanti del 2021, denominata Log4Shell, che affligge la popolare libreria Log4j realizzata da Apache e che sta colpendo i sistemi digitali in tutto il web. Questa falla costituisce un grave rischio per la sicurezza informatica in quanto permette ad un hacker l’esecuzione di codice malevolo da remoto, oppure l’estrapolazione di dati presenti sul server e sull’applicazione in esecuzione sul bersaglio.
Che cos’è la libreria Log4J
Nello specifico, Log4j è una libreria utilizzata in ambiente Java che permette di gestire e monitorare le operazioni di logging in moltissimi servizi online e applicazioni aziendali, al fine di comprendere eventuali errori o malfunzionamenti. Si tratta di una delle librerie più utilizzate allo scopo di creare dei log dei servizi in uso, poiché implementa un sistema avanzato che è in grado di contestualizzare il messaggio di log generato, di modo da agevolare gli sviluppatori nella ricerca dei bug.
Dove si nasconde la vulnerabilità
In questo scenario un hacker può sfruttare un input non ben validato per iniettare del codice all’interno del messaggio di log, con lo scopo di imporre una specifica interpretazione da parte della libreria.
Il bug, tecnicamente identificato dalla CVE-2021-44228, comporta l'invio di una richiesta a un server vulnerabile, tramite semplici chiamate HTTP, in cui si includono alcuni dati per far sì che il bersaglio, passando la stessa alla libreria Log4j con la vulnerabilità, vada ad interpretare il codice all’interno della chiamata, restituendo così dei dati relativi ad informazioni a cui l’utente finale non dovrebbe avere normalmente accesso, come ad esempio l’enumerazione degli utenti presenti sul server.
Queste richieste vengono interpretate tramite il toolkit Java noto come JNDI (Java Naming and Directory Interface), di cui fa largo uso Log4j, e quindi può essere utilizzato per lanciare, da remoto, anche attacchi di esecuzione di codice malevolo, sfruttando diversi protocolli di comunicazione, come ad esempio LDAP, COBRA, COS, RMI e DNS.
Il numero di combinazioni di come sfruttarlo può essere considerevole e dà molte alternative all’hacker per aggirare le protezioni e acquisire il controllo del server, con gravi conseguenze per le aziende e gli utenti.
Cosa rischiano le aziende e gli utenti
Il livello di gravità di questo tipo di vulnerabilità indicato nella CVE è pari a 10, sia per la facilità con cui può essere sfruttata, sia per la possibilità offerta agli aggressori nei riguardi delle aziende colpite, che rischiano estrazione di dati, oppure l’abuso delle capacità di calcolo dei server per attività di crypto mining. Gli hacker più esperti, inoltre, potrebbero utilizzarla per iniettare codice legato ad un attacco di tipo ransomware, con lo scopo di estorcere denaro alle vittime.
Di conseguenza, anche i semplici utenti subiscono danni, con il rischio, infatti, di perdere il controllo dei propri account personali legati ai servizi vulnerabili.
Come si possono mitigare i rischi
Mentre gli utenti non potranno far altro che aspettare il rilascio di aggiornamenti per i vari servizi online, le aziende avranno bisogno di attivarsi ed applicare al più presto le patch rilasciate dal produttore della libreria.
Verificare la vulnerabilità a questo exploit, tuttavia, può essere un’operazione lunga per via del gran numero di sistemi software utilizzati ad oggi e della loro complessità.
Il nostro team di cyber security ha risposto prontamente al problema, valutando quali applicazioni stessero utilizzando log4j ed effettuando una ricerca nei log di sistema con l’obiettivo di diagnosticare eventuali disservizi o indebolimenti dell’infrastruttura e implementare le dovute correzioni.
Affidarsi a consulenti esperti in sicurezza informatica e gestione dei rischi IT può essere utile per valutare la situazione in azienda.
