Vorremmo quasi ridere di questa vignetta ma la situazione è troppo grave per poter ridere di gusto, siamo davanti alla più grande falla nei sistemi informatici degli ultimi 10anni.
Parliamoci chiaro, chi programma per evitare perdite di tempo e scrivere il codice più velocemente, si affida a librerie e parti di codice già testate e funzionanti. La scelta delle librerie è il momento più importante perchè se una di queste è fallata il problema diventa serio.
Log4j è una di queste librerie, creata da uno sviluppatore svizzero, Ceki Gülcü, che poi l’ha passata alla Apache Software Foundation, è forse la più famosa libreria di log Java più usata e conosciuta del Mondo, si stima ci siano almeno 3 miliardi di dispositivi che sfruttano questa libreria.
Tutto sembra nato nella chat di Minecraft (noto gioco diffuso tra i più giovani e non solo) dove alcuni utenti incollando delle stringhe di codice riuscivano a eseguirle anche sui pc di altri giocatori.
In parole più semplici, per sfruttare questa vulnerabilità, un malintenzionato invia del codice a Log4J che quindi memorizza il codice lasciando la porta aperta a codice Java più sfruttabile, che un qualsiasi malintenzionato può utilizzare per assumere il controllo di un server.
Nei giorni successivi alla scoperta alcune aziende che si occupano si sicurezza hanno intercettato migliaia di bot che provavano a cercare sulla rete dispositivi vulnerabili, server di ogni tipo, per caricare malware, rubare dati, installare strumenti di mining di criptovalute e tanto altro ancora.
In pratica basta inserire un comando all’interno dei caratteri ${} per trasformarlo in comando eseguito.
Sono state rilasciate già due Patch di Log4j, la prima 2.15.0 però era vulnerabile ad attacchi DDOS, la seconda corretta in queste ore 2.16.0 dovrebbe essere più stabile secondo Apache SF, resta però la vulnerabilità di una libreria log ormai diffusa in tutti i sistemi Enterprise del Mondo, forse siamo davvero davanti alla più grande falla degli ultimi 10 anni.