Log4Shell fa paura: vulnerabilità estremamente diffusa e facile da sfruttare. Il tempo stringe

La falla zeroday CVE-2021-44228, battezzata con il nome di Log4Shell, rappresenta un grave problema di sicurezza informatica che richiederà mesi, o addirittura anni, per poter essere completamente risolto per via della sua diffusione e della facilità di sfruttamento della falla stessa: è il parere su cui convergono vari ricercatori di sicurezza informatica dopo che Log4Shell è venuta alla luce del sole lo scorso giovedì 9 dicembre.

Sull'argomento si esprime anche il Cybersecurity and Infrastructure Security Agency degli Stati Uniti, sottolineando che la vulnerabilità riguarda centinaia di milioni di dispositivi e che "nessuna azione singola risolverà il problema", precisando che è un errore pensare che le cose si possano sistemare "in una settimana o due". Il CISA avverte che la vulnerabilità sarà verosimilmente utilizzata come trampolino di lancio per svariate e sofisticate tipologie di attacco e compromissione, e che il tempo per correre ai ripari in maniera efficace è davvero limitato.

Ricordiamo che Log4Shell è una vulnerabilità che riguarda lo strumento open-source Log4j di Java, largamente utilizzato per operazioni di registrazione di eventi (logging) su un numero sterminato di applicazioni e servizi, e che consente esecuzione di codice da remoto senza autenticazione. La sua diffusione è pertanto estremamente vasta, il che associato alla facilità di sfruttamento della falla rende Log4Shell una minaccia particolarmente grave, anche superiore rispetto ad HeathBleed, EternalBlue o ShellShock.

Se, almeno per ora, la vulnerabilità pare essere stata sfruttata principalmente per recapitare malware di cryptomining, i ricercatori di sicurezza si aspettano di osservare un'evoluzione nella tipologia di attacchi. La possibilità di eseguire codice da remoto non autenticato in maniera semplice apre infatti un ampio ventaglio di possibilità per gli attaccanti. Steve Povolny, responsabile della ricerca sulle minacce avanzate per McAfee Enterprise e FireEye, ha osservato che a fronte del crescente numero di attività a seguito della scoperta della falla, è ragionevole presumere che molte realtà possano già essere state compromesse. Anche Povolny avverte sulla possibilità di osservare un'evoluzione degli attacchi.

Sean Gallagher, ricercatore per Sophos, sottolinea in particolare che la vulnerabilità può essere sfruttata da attaccanti che cercano di installare strumenti di accesso remoto e persistenza e che sia già utilizzata per cercare di esporre le chiavi utilizzate dagli account Amazon Web Service.

Secondo Casey John Ellis, esperto di sicurezza e fondatore di Bugcrowd, il problema è decisamente pià grave di HeartBleed, in quanto la diffusione di log4j e le varie interdipendenze sono di "ordini di grandezza superiori. Mentre Florian Roth di Nextron Systems parla di "0day cluster bomb", e cioè che Log4Shell è una vulnerabilità che può potenzialmente causare centinaia e migliaia di altre falle zeroday in ogni tipo di software.

E in particolare per quanto riguarda la diffusione del problema, è Jaana Dogan, Principal Engineer per AWS, a fornire ulteriore contesto:

L'azione immediata da compiere per eliminare la falla è l'aggiornamento di Log4j almeno alla versione 2.15.x che richiede Java 8. Chi non dovesse poter aggiornare Log4j per via di complesse interdipendenze può ricorrere ad alcune soluzioni parziali e temporanee, ben riassunte in questo ampio e approfondito compendio su Log4Shell.