Log4Shell, vulnerabilità di Java che minaccia il Web

Si chiama Log4Shell ed è una tra le più pericolose vulnerabilità zero-day mai scoperte, fonte di potenziali attacchi. Pericolosa perché consente, in teoria, di prendere pieno controllo del sistema bersaglio ma anche perché è diffusissima: dai servizi di Amazon a Apple iCloud, da Minecraft alla piattaforma di videogioco Steam, e ancora Twitter, Baidu, Coudfare, NetEase, Tencent. L’allerta di sicurezza fatta circolare da ricercatori di Alibaba e di LunaSec è massiccia: esiste una grave vulnerabilità zero day all’interno delle applicazioni e dei server che impiegano Apache Log4j.

Libreria Java diffusa in modo ubiquo, utilizzata per lo sviluppo di applicazioni Web, Apache Log4j contiene una falla nelle versioni comprese tra la 2.0-beta9 e la 2.14.1. Corrispondente alla sigla CVE-2021-44228 e ribattezzata come Log4Shell o LogJam, la vulnerabilità ha una gravità massima, con punteggio dieci su dieci, e potenzialmente consente a un attaccante di eseguire codice arbitrario da remoto, fino anche a prendere il controllo dell’intero sistema bersaglio.

Il punteggio di massima gravità è dovuto al fatto che, a detta degli autori della scoperta, basterebbe forzare l’applicazione a scrivere una singola stringa di codice nel logo per caricare, poi, qualsiasi codice arbitrario all’interno dell’applicazione stessa (una spiegazione più tecnica è stata pubblicata da LunaSec). Naturalmente, l’allerta è elevata anche perché Apache Log4j ha una diffusione ubiqua. Addirittura la National Security Agency ha ammesso che un proprio strumento di reverse engineering, Ghidra, impiegava una versione vulnerabile.

La Apache Software Foundation ha rilasciato in questi giorni una patch di sicurezza e dunque è importante, se si hanno in azienda applicazioni Web su Apache Log4j, aggiornare la libreria all’ultima versione disponibile, cioè alla 2.15.0. “Il tempo è essenziale per mitigare la vulnerabilità Log4Shell nella libreria Apache Log4j 2”, ha commentato Asad Ali, senior director del Global Center of Excellence di Dynatrace. “Dato che questa vulnerabilità consente a un utente malintenzionato di eseguire qualsiasi comando su un processo Java vulnerabile, è fondamentale dare la priorità alla sua correzione nei processi Java accessibili direttamente da un browser, dispositivo mobile o chiamata Api (Application Programming Interface)”.