L’Agenzia per la cyber sicurezza nazionale ha individuato una grave falla e invita ad aggiornare i sistemi.
Il “bug”, cui è assegnato il punteggio massimo di pericolosità (10), è stato chiamato Log4shell e colpisce il modulo open source log4j 2 di Apache software foundation, cuore della maggioranza delle applicazioni ospitate dai server di tutto il mondo. La falla permette l’esecuzione di codice da remoto senza autenticazione. Ciò, fa sapere l’Agenzia “comporta la presenza di una vasta e diversificata superficie di attacco sulla totalità della rete internet e, considerando la sua semplicità di sfruttamento anche da parte di attori non sofisticati, rende la vulnerabilità particolarmente grave”.
La raccomandazione dell’organismo è di ridurre al minimo l'esposizione della vulnerabilità “applicando le necessarie misure ai propri server nel più breve tempo possibile”.
I primi segnali di sfruttamento di Log4shell sembrano essere apparsi su Minecraft, gioco on line molto popolare tra i ragazzi e di proprietà di Microsoft.
Log4j 2 è una libreria per il logging - basata su Java - ampiamente utilizzata nello sviluppo di sistemi aziendali; è inclusa in vari software e spesso direttamente integrata in importanti applicazioni. Per questo motivo la portata dell’impatto è potenzialmente estesa a migliaia tra prodotti e dispositivi. La vulnerabilità risiede nel modulo di messaggistica e consente l’esecuzione di un codice arbitrario da remoto sul server che utilizza la libreria portando alla completa compromissione dello stesso senza necessità di autenticazione. L’aggressore potrebbe acquisire il controllo dell’applicazione interessata e l’accesso completo al sistema.
L’impatto si ripercuote sia su Windows che su Linux e sono da considerare potenzialmente vulnerabili anche i sistemi di backend e i microservizi.