La minaccia di Log4Shell ora si estende a Stati e banche

AGI – Il 9 dicembre scorso viene rivelata l’esistenza di una vulnerabilità in Log4j. Viene battezzata Log4Shell. Per un paio di giorni la notizia resta recinto degli esperti di sicurezza informatica e dei siti di settore. Già allora molti erano in allarme. Eppure ci vorrà un bel po’ prima che la notizia sbarchi sulle principali agenzie internazionali e i grandi media. Anche perchè capire di cosa si tratta non è semplice. Spiegarlo ancora meno.

Nei giorni successivi si capirà che Log4j è una libreria usata dalla stragrande maggioranza dei programmatori di software che usano il linguaggio Java, il più usato al mondo, quello con cui sono scritti miliardi di software e applicazioni in circolazione. Una piccola porzione di codice nascosta tra le pieghe dei programmi, ma su cui si reggono i programmi stessi. E a rischio, spiegano gli esperti, non sono solo le aziende ma server e programmi di gruppi finanziari, stati, istituzioni nazionali. E tutti concordano sul fatto che si tratta di una delle più gravi vulnerabilità scoperte negli ultimi anni.

Cos’è Log4j 

Log4j è una ‘librerià distribuita gratuitamente da Apache Software Foundation. è stata scaricata diverse milioni di volte ed è stata utilizzata probabilmente miliardi di volte. Questa ‘librerià consente a chi sviluppa un software di registrare le attività degli utenti e il comportamento delle applicazioni, in maniera tale da poterle sottoporre a successive verifiche e controlli in caso di necessità, quindi di rimettere mano a qualche parte del programma stesso. Questi ‘status’ vengono raccolti e richiamati con dei tag, tipo quelli usati per segnare gli argomenti dei blog o di Twitter.

La vulnerabilità scoperta a dicembre 

Il 9 dicembre dei ricercatori hanno scoperto che uno di questi tag conteneva una vulnerabilità che consente ad eventuali aggressori di eseguire del codice da remoto su un computer di destinazione. Potevano quindi rubare datti, istallare malware, prendere il controllo dell’intero sistema. Cosa avviene generalmente quando si scoprono queste vulnerabilità?

Alcuni esperti sentiti da AGI hanno spiegato che nella community degli sviluppatori generalmente si opta per rendere pubblica, o semi-publica, la vulnerabilità stessa. Una questione etica, ma anche pratica: prima si sa, prima si può fare in modo che tutti trovino una soluzione. Ma d’altro parte succede che l’informazione arriva anche ad attori malevoli: hacker, migliaia di hacker che da allora hanno cominciato a cercare questa vulnerabilità nei software di istituzioni, organizzazioni, aziende.

840 mila attacchi in tre giorni

Una fotografia di quello che è successo nelle ore successive l’ha fornita oggi Check Point, azienda di sicurezza informatica israeliana: il 10 dicembre sono stati registrati qualche migliaio di tentativi di attacco informatico; l’11 dicembre sono diventati 40.000; il 12 dicembre 200.000; ieri, 13 dicembre, erano già più di 840 mila.

Una progressione che fa paura. Tanto da portare Lotem Finkelstein, direttore Threat Intelligence and Research dell’azienda, a dire senza mezzi termini: “Non possiamo che confermare la gravità di questa minaccia. All’apparenza, essa è rivolta ai criptominer, ma crediamo che questo costituisca l’avvisaglia di un attacco hacker nei confronti di una serie di bersagli di grande valore come le banche, la sicurezza di Stato e le infrastrutture critiche”.

Inoltre sarebbero vittime di tentativi di attacco il 40% delle aziende a livello globale. Il 42% in Europa. Il 43% solo in Italia. Una situazione complessa tanto da allarmare anche l’Agenzia per la cyberscicurezza nazionale che nei giorni scorsi ha parlato di “una vasta e diversificata superficie di attacco sulla totalità della rete”, definendo la situazione “particolarmente grave”.

Internet è in pericolo

La situazione è grave quindi. Internet resta in pericolo. E la situazione, spiegano gli esperti, potrebbe rimanere in bilico per anni tanto è complicato individuare e rimettere a posto tutte le volte che Log4j è stato usato.

Al momento si sono registrati tentativi di intrusione soprattutto con finalità di criptomining, il processo di estrazione di criptovalute come bitcoin. Ma gli esperti di sicurezza sono particolarmente preoccupati dal fatto che la vulnerabilità possa soprattutto dare agli hacker un punto d’appoggio sufficiente all’interno di un sistema per installare un ransomware, un tipo di virus informatico che blocca i dati e i sistemi fino a quando gli attaccanti non vengono pagati dalle vittime.

Per le aziende più grandi, questi riscatti possono costare milioni di dollari. Gli attacchi possono anche causare interruzioni di servizi, come è accaduto ai sistemi di Colonial Pipeline lo scorso in maggio, che ha causato un arresto di sei giorni del più grande oleodotto della costa orientale degli Stati Uniti. O causare danni come quello che lo scorso agosto ha colpito il sistema sanitario della Regione Lazio, o più di recente l’attacco alla Siae. Di esempi ce ne sono a migliaia.

Milioni di server a rischio

“Probabilmente milioni di server sono a rischio”, ha detto Lou Steinberg, fondatore di Ctm Insights, un incubatore tecnologico. Una portavoce di Apache invece non ha nascosto che il modo in cui Log4j è inserito in diversi pezzi di software rende di fatto impossibile tracciare la portata dello strumento. Diverse società tecnologiche lo hanno usato. Molti, e più passano le ore più società scoprono di averlo usato in qualche modo. Tra questi ci sono Apple, Amazon.com, Cloudflare, IBM, Microsoft-Minecraft, Palo Alto Networks, Twitter, Tesla. Ma la lista potrebbe essere molto più lunga.

Le soluzioni tentate

Qualcuno passa già alle contromosse. Apache ha rilasciato più aggiornamenti negli ultimi giorni e ha consigliato l’aggiornamento all’ultima versione dello strumento Log4j. Oracle ha rilasciato le proprie patch venerdì.

Microsoft ha raccomandato una serie di passi per mitigare il rischio di attacco, tra cui contattare i fornitori di applicazioni software per essere sicuri che stiano utilizzando la versione più aggiornata di Java, che includerebbe le patch. Ma è una corsa contro un nemico ignoto che continua ad attaccare le infrastrutture attraverso un tassello: una carta piccola, spesso invisibile, messa alla base di una piramide di carte che rischia di crollare.