Web, allerta globale per una falla nel cuore delle app

Allerta web vulnerabile. Nelle ultime 48 ore è stata registrata da diversi ricercatori di sicurezza informatica una vulnerabilità critica denominata “Log4Shell” che affligge il modulo open source “log4j” di Apache Project, cuore della maggioranza delle applicazioni ospitate dai server di tutto il mondo. Lo rende noto l’Agenzia per la cybersicurezza nazionale. Ciò comporta la presenza di una vasta e diversificata superficie di attacco sulla totalità della rete Internet – si legge in una nota – «e considerando la sua semplicità di sfruttamento, anche da parte di attori non sofisticati, rende la segnalata vulnerabilità particolarmente grave».

I tecnici dell’Agenzia per la cybersicurezza nazionale, in costante contatto con le omologhe agenzie europee ed internazionali, raccomandano, vista la pericolosità della vulnerabilità, «di ridurre al minimo la sua esposizione su internet applicando le necessarie misure ai propri server nel più breve tempo possibile». Lo CSIRT Italia sta pubblicando aggiornamenti di sicurezza sul portale pubblico (https://csirt.gov.it), incluse anche le procedure per risolvere la citata vulnerabilità, ai quali i responsabili tecnici dei servizi IT pubblici e privati sono invitati a fare riferimento.

Allerta web vulnerabile

È come se miliardi di porte di casa fossero improvvisamente aperte, senza più alcuna protezione. Come se chiunque con intenzioni malevole potesse entrarci e prenderne possesso. È ancora difficile stabilire la reale portata della vulnerabilità scoperta sui sistemi informatici che usano il linguaggio Java, ma che si tratti di qualcosa di grave è opinione unanime tra gli esperti. L’Agenzia per la cyberscicurezza nazionale parla di «una vasta e diversificata superficie di attacco sulla totalità della rete», definendo la situazione «particolarmente grave». In altre parole, Internet è in pericolo. La sua sicurezza è compromessa. A trovarsi improvvisamente col fianco scoperto sono tutti i software e le applicazioni scritti in Java, il linguaggio di programmazione più usato al mondo: miliardi di programmi e applicazioni, dai server agli smartphone. E le conseguenze potrebbero essere ancora peggiori se nei prossimi giorni non si dovessero individuare delle soluzioni a “Log4Shell”, così è stata chiamata la vulnerabilità, con il rischio di compromettere la sicurezza non solo di server e aziende, ma anche dei di smartphone, computer, insomma, tutti i device in circolazione. Tanto da portare alcuni esperti a parlare di un rischio di «Apocalisse informatica».

Ecco cosa è successo

Cosa è successo? «I ricercatori hanno scoperto una vulnerabilità in Log4j, una libreria usata dalla stragrande maggioranza programmatori di software con linguaggio Java che consente di scrivere nel software quelli che vengono chiamati “log”, ovvero degli “status” del software stesso che permettono di fotografare un momento dello sviluppo del software stesso, registrando stati di avanzamento, performance, problemi e soluzioni», spiega Marco Ramilli, amministratore delegato di Yoroi.

La vulnerabilità è nei tag di questi log, che un po’ come i tag dei blog o quelli su Twitter consentono di individuare il tipo di log che si è scritto in precedenza. «Si è scoperto che uno di questi tag consente di eseguire un comando, lanciare un programma», continua Ramilli. Qualsiasi tipo di comando o di programma. Riesce a dire alla macchina: “Fai questo”. Un attaccante può quindi attraverso questo tag far eseguire alla macchina quello che vuole. Può lanciare codice sulla macchina. Ma per fare cosa? «Qualsiasi cosa. In questo momento quello che vediamo è che gli attaccanti usano questa vulnerabilità per fare attività di mining di criptovalute», ovvero quell’operazione che consente di creare bitcoin, attività particolarmente complessa e bisognosa di capacità di calcolo e energia. «Ma potrebbero fare qualsiasi cosa: entrare nei server di un’azienda, vedere quello che c’è dentro, rubare segreti industriali oppure decidere di sferrare degli attacchi ransomware per monetizzare il proprio controllo dei sistemi», ragiona Ramilli, che ammette di aver visto un attacco di questo tipo «circa cinque, otto volte negli ultimi 20 anni».

Una corsa contro il tempo

Java è su circa 3 miliardi di dispositivi. E “Log4j”, sviluppato da Apache, è usato da quasi tutti i programmatori. Per dare un’idea del suo utilizzo e della sua affidabilità basti pensare che anche Ingenuity, l’elicottero della Nasa atterrato sul suolo di Marte lo scorso febbraio, ha un software che usa “Log4j”, come la stessa Apache ha reso noto sul proprio profilo Twitter. Ma non c’è bisogno di andare su Marte per capire l’enorme utilizzo di questo linguaggio di programmazione. In queste ore centinaia, forse migliaia di hacker in tutto il mondo stanno cercando di individuare nei software e nei server questa vulnerabilità per prenderne possesso e sferrare attacchi. Il rischio più grande al momento lo corrono le aziende e le organizzazioni, più o meno grandi. Situazione resa ancora peggiore dal fatto che spesso è difficile capire se nello sviluppo dei propri software è stato utilizzato “Log4j”, da chi, e quando.

In pericolo però non ci sono solo le aziende e le istituzioni. Perchè il problema potrebbe presto riguardare anche il singolo utente, un possessore di smartphone, o di uno smartwatch. «Se gli attaccanti prendono di mira un’azienda, l’utente che è loggato in quel sistema», che sia Twitter, Minecraft o società di Ecommerce, per citare alcune delle piattaforme che al momento hanno individuato la vulnerabilità, «si potrebbe vedere rubati i propri dati personali, o quelli delle proprie carte di credito», spiega Ramilli. Mentre ancora più grave è la possibilità che potrebbe verificarsi nei prossimi giorni se non si dovessero trovare soluzioni rapide: «Hacker malevoli potrebbero diffondere link corrotti e aprire tramite questa vulnerabilità delle backdoor sui dispositivi delle persone, telefoni, tablet, qualsiasi oggetto connesso alla rete. E una volta aperta una backdoor può fare quello che vuole». Per Ramilli c’è tempo per qualche giorno ancora. «Già dalla metà della prossima settimana la situazione potrebbe essere difficilmente recuperabile». È una corsa contro il tempo.

Rischio di Apocalisse informatica

In dettaglio, cos’è “Log4j”? «Se usi Java, probabilmente usi “Log4j”», spiega ad Agi Matteo Flora, esperto di sicurezza informatica e amministratore delegato di TheFool. «È lo standard de facto per chiunque usi Java» per programmare. «È ovunque, dalle Tesla, a Twitter, a Facebook, ai sistemi di controllo numerico fino agli iPhone. Quella che è uscita è una vulnerabilità non ancora risolta». Cosa succede quindi? «Nel caso peggiore è un po’ l’Apocalisse informatica: se non viene risolta questa vulnerabilità si dà la possibilità di lanciare comandi. E già stiamo vedendo in giro criptominer e accessi abusivi. Il problema è che molta di questa roba è embedded, quindi non ci sono sistemi veloci di aggiornamento. In più è ovunque». Ramilli invece usa una metafora: «Il logging come quello di “Log4j” è un po’ come il testo di un attore seguito sul palcoscenico: serve per seguire una traccia, oppure tornare indietro a un punto preciso se si vuole lavorare su un errore». Una traccia da seguire, e eseguire. In uno dei suoi passaggi però c’è la possibilità di far cambiare completamente trama al testo, e di scriverne una propria. A proprio piacimento.