Esci dall'area privata
Una vulnerabilità in una libreria di log ampiamente utilizzata è diventata la causa di un vero e proprio tracollo della sicurezza informatica, che sta colpendo i sistemi digitali in tutta la rete . I criminali informatici stanno già tentando di sfruttarla, ma anche se le patch vengono pubblicate, i ricercatori avvertono che la falla potrebbe avere gravi ripercussioni in tutto il mondo . Il problema risiede in Log4j, un onnipresente framework di logging open source di Apache logging che gli sviluppatori utilizzano per tenere un registro delle attività all’ interno di un’ applicazione. I responsabili della sicurezza si stanno affrettando a tappare la falla, che può essere facilmente sfruttata per prendere il controllo dei sistemi vulnerabili da remoto . Allo stesso tempo, i criminali stanno attivamente scansionando internet alla ricerca dei sistemi colpiti. Alcuni hanno già sviluppato strumenti che tentano automaticamente di sfruttare il bug , così come worms che possono diffondersi indipendentemente da un sistema vulnerabile ad un altro nelle giuste condizioni. Che cos’ è Log4j Log4j è una libreria Java , e mentre il linguaggio di programmazione è meno popolare ultimamente tra gli utenti, è ancora in uso molto ampio nei sistemi aziendali e nelle applicazioni web. I ricercatori hanno detto a Wired venerdì 10 dicembre che si aspettano che molti servizi mainstream siano colpiti. Per esempio, Minecraft , di proprietà di Microsoft, venerdì 10 dicembre ha pubblicato istruzioni dettagliate su come i giocatori della versione Java del gioco dovrebbero applicare una patch ai loro sistemi. ” Questo exploit colpisce molti servizi, tra cui Minecraft Java Edition “, si legge nel post. L’ amministratore delegato di Cloudflare, Matthew Prince, ha twittato venerdì che il problema era ” così grave ” che la società di infrastrutture internet avrebbe provato a lanciare almeno un certo livello di protezione anche per i clienti sul suo livello di servizio gratuito. Tutto quello che un attaccante deve fare per sfruttare la falla è inviare strategicamente una stringa di codice malevolo che alla fine viene registrato dalla versione 2.0 di Log4j o da una più avanzata. L’ exploit permette a un attaccante di caricare a piacimento codice Java su un server, permettendo così di prendere il controllo. Che rischi si prospettano ” È un errore di progettazione di proporzioni catastrofiche “, dice Free Wortley, amministratore delegato della piattaforma di sicurezza dati open source LunaSec. I ricercatori della società hanno pubblicato un avviso e una valutazione iniziale della vulnerabilità Log4j giovedì 9 dicembre .
FONTE: https://www.wired.it
