Internet ha un mega bug che rende vulnerabile quasi tutto: Apple, Twitter e Minecraft inclusi

Notizie più brutte non potevano arrivare per noi utenti che usiamo giornalmente la rete e soprattutto per alcune delle più grandi aziende che sulla rete basano il loro business e i loro servizi. È stata portata alla luce una vulnerabilità tanto estesa quanto pericolosa che riguarda tantissimi aspetti di internet.

La vulnerabilità è conosciuta come Log4Shell ed è stata scoperta alla fine della scorsa settimana, quando diversi servizi Minecraft e siti di news hanno rilevato la circolazione di un codice malware, sfruttando appunto questa vulnerabilità di tipo zero-day. Dopo poco si è capito che Minecraft non era l'unico oggetto di attacco ma che la vulnerabilità interessa un gran numero di servizi.

Come potete vedere dalle immagini raccolte proprio qui sotto, sono stati effettuati dei test in diversi servizi cloud, alcuni dei quali molto blasonati come Apple e Cloudflare, sono stati interrogati usando i parametri simili a quelli forniti dagli attacchi ai servizi Minecraft.

Successivamente le risposte dei server sono state monitorate con il dominio dnslog.cn, il quale svela se c'è un servizio cloud in fase di ricerca DNS. Questo è proprio quello che è risultato del monitoraggio, segno che i servizi stavano accettando delle connessioni da una macchina controllata da chi ha effettuato gli attacchi della scorsa settimana.

Di norma infatti, la digitazione di informazioni nelle caselle riservate a username e password non dovrebbe permettere alcuna connessione da reti esterne. Questo non accade appunto a causa della presenza della vulnerabilità Log4Shell.

Dal punto di vista tecnico, la vulnerabilità è insita in Log4j, un pacchetto di registrazione basato su Java e sviluppato dalla sviluppato dalla Apache Software Foundation. Questo pacchetto è usato nella stragrande maggioranza dei servizi cloud, e questo è il motivo per cui tantissimi provider hanno i loro dati e quelli dei loro utenti a rischio. La vulnerabilità è contenuta tra le versioni 2.0-beta-9 e 2.14.1 di Log4j.

Con la versione 2.15.0 è stata risolta. Peccato che per stare al sicuro, tutti i provider e fornitori dovranno aggiornare Log4j proprio a quest'ultima versione.

Le conseguenze dello sfruttamento di questa vulnerabilità sono potenzialmente catastrofiche per le informazioni personali degli utenti e per i server delle grandi aziende che sono vulnerabili. Come spiegato da Thomas Reed, il direttore della divisione Mac & Mobile di Malwarebytes, il furto dei dati personali degli utenti Apple potrebbe già essere stato effettuato o essere attualmente in corso. Lo stesso dicasi per i dati di proprietà di Apple, immagazzinati nelle sue infrastrutture.

Chiaramente il problema non riguarda solo Apple e Minecraft, ma tutti i servizi che si affidano a Log4j. Tra questi troviamo Amazon, Steam, Tesla, Twitter, Baidu e Cloudflare. Quest'ultimo ha fatto sapere di aver implementato delle protezioni di sicurezza aggiuntive di default per tutti i suoi utenti, compresi quelli che non hanno sottoscritto un piano a pagamento.

Anche Minecraft ha riferito di aver apportato delle correzioni. Rimane da capire quanto siano efficaci e robuste, torneremo ad aggiornarvi appena emergeranno novità.