L’Agenzia per la cybersicurezza italiana definisce la situazione «particolarmente grave» e molte aziende non sanno come correre ai ripari
Da quando abbiamo scritto di Log4Shell, la vulnerabilità racchiusa nel programmino Log4J, sono stati oltre 800 mila gli attacchi hacker che hanno sfruttato questa debolezza in un software open source che è tra i cardini di molti siti web e in generale di servizi di Rete. Distribuita gratuitamente dalla Apache Software Foundation, Log4j è una libreria che permette agli sviluppatori di creare dei log, ovvero di registrare le attività del sistema così da intervenire quando serve. In una parola, è ovunque.
Gli esperti di sicurezza non usano mezze parole. L’Agenzia per la cybersicurezza italiana parla di «una vasta e diversificata superficie di attacco sulla totalità della rete», definendo la situazione «particolarmente grave» mentre frasi come «peggiore vulnerabilità mai registrata» o «errore di progettazione di proporzioni catastrofiche» si susseguono senza sosta. Tutti, più o meno, ci sono dentro. Da Apple ad Amazon passando per LinkedIn, Cloudflare, Ibm, Twitter e Tesla l’elenco delle aziende che usano o hanno usato Log4j continua ad allungarsi.
Scoperta a fine novembre da un ricercatore di Alibaba, il colosso cinese dell’ecommerce e del cloud, la falla è semplice da sfruttare ma virulenta. Permette di inviare una stringa di codice sui server altrui per poi eseguirlo da remoto. Dei criminali potrebbero quindi usarla per diffondere malware, rubare dati o controllare l’intero sistema.
Il primo attacco di rilievo ha coinvolto Minecraft, o meglio Minecraft Java Edition (Qui viene spiegato come risolvere il problema). Diversi giocatori hanno iniziato a inviare stringhe di codice sulla chat cercando di sfruttare la falla. Poi è stato il turno di Twitter con alcuni utenti che hanno messo stringhe di caratteri al posto del nome. C’è poi chi ha cambiato nome al proprio iPhone. Tante prove che dimostrano come in tanti si stiano muovendo per capire bene come entrare da quella porta che sembra sempre più un portone. La crescita è esponenziale: l’11 dicembre sono stati registrati 40 mila; il 12 dicembre 200 mila, il 13 dicembre 840 mila. Secondo Akamai ora si è arrivati a 250 mila l’ora.
Aver reso pubblica la falla ha permesso di affrontarla più rapidamente ma ha pure attivato i cybercriminali. Capirne la portata, al momento, è impossibile: Apache stessa dice che Log4j è così presente in tanti software che non si può tracciarlo. L’unica certezza è la conferma data da questa emergenza di come la struttura della Rete mondiale è traballante. Perché stratificata senza un progetto unico negli anni, basando parte dei propri protocolli su tanti piccoli software, magari vecchi di anni e sviluppati perché funzionino — e lo fanno — senza particolare attenzione alla sicurezza. Tema ora sempre più fondamentale ma che anni fa non era listato tra le priorità. Si dice in questi casi di giganti dai piedi d’argilla.
Negli ultimi giorni è scattata una sorta di guardia e ladri globale. Da una parte ci sono criminali che stanno cercando di sfruttare la falla, dall’altra le aziende che corrono ai ripari. Ma non è così facile. Le imprese più grandi e attrezzate stanno già distribuendo delle patch, dei correttori che dovrebbero almeno arginare la perdita e l’agenzia per la sicurezza olandese ha rilasciato la lista di tutto il software in pericolo.
Migliaia di altre piccole imprese però non sono in grado di intervenire. «Per via del modo in cui questa libreria viene usata dai più diversi software, non è facile per un utente capire se il software che sta usando utilizza o meno questa libreria», dichiara Nicholas Luedtke, Principal Analyst di Mandiant, «Se non si riesce a smarcare questo dubbio velocemente, diventa davvero difficile il poter applicare poi delle mitigazioni». La corsa contro il tempo intanto continua e gli effetti degli attacchi saranno chiari solo nei prossimi giorni.