2021/12/16

Panico da Log4Shell: cosa c’è da sapere e da fare

Da alcuni giorni, precisamente dal 9 dicembre scorso, c’è un panico informatico diffuso a proposito di Log4Shell, che secondo molti esperti è una delle falle di sicurezza più gravi di sempre e la peggiore del decennio.

Provo a fare il punto della situazione e chiarire cosa possiamo fare noi comuni mortali per evitare problemi.

In estrema sintesi, la falla consiste in questo: in molti siti e giochi online basta scrivere una particolare sequenza di caratteri che inizia con ${jndi: per mandarli in tilt o addirittura prenderne il controllo. Non serve conoscere password o altro.

Per esempio, può essere sufficiente digitare nella chat di Minecraft quella particolare sequenza di lettere e simboli per prendere il controllo dei computer degli altri utenti o di un server Minecraft oppure causare altri danni, come mostra in dettaglio l’informatico John Hammond.

Un altro esempio: nei giorni scorsi se si cambiava il nome del proprio iPhone nelle sue impostazioni e si usava come nome quella sequenza di caratteri, era possibile far scattare questa vulnerabilità nei server di Apple

Fra i siti che sono stati colpiti ci sono Steam, iCloud di Apple, Microsoft, Cisco, Amazon, Twitter, Tesla, Cloudflare e tanti altri. Trovate un elenco di questi siti, con i relativi screenshot, qui su Github.

Gli esperti di sicurezza hanno già pubblicato gli aggiornamenti correttivi, e moltissime aziende li hanno installati e hanno pubblicato apposite pagine informative per i loro utenti, ma non tutti i responsabili dei siti e tutti gli utenti li hanno installati, e quindi restano ancora molte persone e organizzazioni esposte e vulnerabili.

In estrema sintesi: 

  • se gestite un server esposto a Internet, installate subito gli aggiornamenti della cosiddetta libreria software di logging denominata log4j, se la usate;
  • se siete utenti comuni, installate appena possibile tutti gli aggiornamenti di tutte le app che usate su qualunque dispositivo: computer, tablet, smartphone, router, stampanti, eccetera;
  • in ogni caso, non fidatevi di inviti o avvisi che vi propongono di scaricare presunti “antivirus” o correzioni da siti mai visti prima: usate soltanto le normali procedure di aggiornamento;
  • non fate l’errore di pensare “ma io uso Mac / Linux / Windows e quindi non sono vulnerabile”. Questa falla colpisce un po’ tutti: un elenco molto dettagliato dei software vulnerabili è su Github.  

Il Centro nazionale svizzero per la cibersicurezza (Ncsc.admin.ch) ha pubblicato una pagina riassuntiva, disponibile anche in italiano, e un avviso tecnico molto più dettagliato in inglese. Anche Microsoft ha un’apposita pagina informativa e la vulnerabilità è classificata formalmente con la sigla CVE-2021-44228.

Schema d’attacco tratto da Ncsc/Govcert.ch.

Il Govcert svizzero sta contattando le organizzazioni svizzere che risultano ancora vulnerabili. È infatti possibile verificare a distanza se un sito o un server connesso a Internet non è stato aggiornato.

Gli attacchi che sfruttano questa falla e colpiscono chi non si è aggiornato sono già in corso: finora gli aggressori mettono a segno l’attacco installando sui server non aggiornati dei programmi che servono a effettuare altri attacchi (DDOS), tentare estorsioni (ransomware) o sfruttare i computer altrui per generare criptovalute. Secondo quanto scrive Microsoft, molti attacchi provengono da gruppi in Cina, Iran, Corea del Nord e Turchia.

Greynoise pubblica un quadro della situazione qui. Gli attacchi lanciati finora sono almeno 840.000.


 ----

Se vi state chiedendo come sia possibile un disastro del genere, per cui basta scrivere qualcosa in una casella di chat per attaccare un sito, la spiegazione è che Log4J è una libreria software, ossia una serie di istruzioni di programmazione, che viene usata da moltissime applicazioni, soprattutto nei computer collegati in rete. Serve a fare il cosiddetto logging, ossia a registrare tutto quello che avviene sui quei computer: per esempio quale utente ha fatto una certa cosa, quando l’ha fatta, da che dispositivo l’ha fatta, eccetera.

È una libreria libera e gratuita, per cui la possono usare tutti liberamente, e infatti la usano moltissime aziende.

Questa libreria ha un difetto: non controlla bene il contenuto dei dati che registra. Se un utente ostile fa in modo che nel log ci sia quella sequenza di caratteri che ho citato prima (per esempio la usa come nome del proprio telefonino oppure come User agent del proprio browser), Log4J riceve la sequenza e la interpreta come istruzioni da eseguire. Un errore classico e clamoroso, spiegato in dettaglio qui da Sophos.

Se volete saperne di più: LunaSec (anche qui), Minecraft.net (anche qui), Howtogeek, Ars Technica (anche qui e qui), Graham Cluley, Gizmodo, Sophos.


Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili