Una vulnerabilità che potrebbe creare molti più grattacapi di quelli già in essere, soprattutto in considerazione del fatto che è correlata direttamente a numerosi servizi che vanno per la maggiore, su molteplici e diversificate esperienze: dall’Apple Cloud a uno dei game più famosi in circolazione come Minecraft, passando addirittura per Twitter, Cloudflare e Steam.
I ricercatori di LunaSec, una popolarissima piattaforma per la sicurezza dei dati open source, ha riscontrato una vulnerabilità pericolosissima, denominandola Log4Shell, accreditata a Chen Zhaojun di Alibaba: è stata trovata in Apache Log4j, un’utilità di registrazione open source utilizzata in un numero elevatissimo di applicazioni, portali e servizi.
Log4Shell è stato scoperto per la prima volta proprio su Minecraft, il famoso game sandbox open world sviluppato da Mojang Studios e originariamente creato dal programmatore svedese Markus Persson, noto anche come Notch, utilizzando il linguaggio di programmazione Java. Con più di 200 milioni di copie vendute, è il videogioco più acquistato di sempre.
Log4Shell, una minaccia significativa. La conferma di molte aziende
Ma magari fosse Minecraft solo il problema. I ricercatori di LunaSec sostengono moltissimi servizi sono sotto scacco, vulnerabili a questo exploit a causa della presenza di Log4j in quasi tutte le principali app e server aziendali basati su Java. In un post sul blog, la società di sicurezza informatica ha perfino avvertito che chiunque utilizzi Apache Struts è “probabilmente vulnerabile”. Questo per far capire l’entità di un allarme altissimo fatto scattare dai ricercatori di LunaSec.
LEGGI ANCHE >>> PosteMobile, ultime ore per approfittare dell’ottima offerta da 5,90 euro
Le aziende con i server in questione hanno confermato di essere vulnerabili agli attacchi Log4Shell. Signore aziende, peraltro: Apple e Amazon, Cloudflare e Twitter, Vapore, Baidu, NetEase e Tencent. E potrebbero essere coinvolte migliaia di altre aziende coinvolte.
LEGGI ANCHE >>> DAZN nel mirino di Amazon? Forse no… o forse sì!
Per il momento Cloudflare ha affermato, in una dichiarazione rilasciata a TechCrunch, “di aver aggiornato i sistemi per prevenire gli attacchi – si legge – aggiungendo di non aver riscontrato grossi problemi”.
Fatto sta che il problema c’è. Eccome. “La vulnerabilità Log4j è una minaccia significativa per lo sfruttamento a causa della diffusa inclusione nei framework software”. Parola di Robert Joyce, direttore della Cybersecurity presso la NSA, confermando che anche GHIDRA, uno strumento di reverse engineering gratuito e open source sviluppato dalla stessa NSA, è interessato.
Sono in molti a preoccuparsi di questa “minaccia che il software open source presenta come una porzione crescente delle superfici critiche di attacco della catena di approvvigionamento del mondo” tuona Kayla Underkoffler, tecnologa della sicurezza senior presso HackerOne. “Il software open source è alla base di quasi tutte le moderne infrastrutture digitali – continua la Underkoffler, sempre a TechCrunch – con l’applicazione media che utilizza 528 diversi componenti open source. La maggior parte delle vulnerabilità open source ad alto rischio scoperte nel 2020 esiste anche nel codice da più di due anni, ma la maggior parte delle aziende non ha il controllo diretto sul software open source all’interno delle catene di approvvigionamento per correggere facilmente queste debolezze”.