Una nuova vulnerabilità emersa nelle scorse ore sta facendo preoccupare parecchio gli esperti di sicurezza del settore informatico: si chiama Log4Shell e se sfruttata permette ai malintenzionati di eseguire codice da remoto, dando la possibilità agli hacker di compromettere i server e le macchine infette.
La vulnerabilità, finora sconosciuta, è stata scovata all'interno della libreria Log4j, una libreria di log usata da moltissime applicazioni e servizi online. I sistemi di log vengono usati da praticamente qualsiasi sistema di sicurezza di rete (e non solo), in modo da poter visionare dei report in caso di errori o problemi, motivo per cui la vulnerabilità Log4Shell potrebbe avere un impatto davvero importante.
Stando alle dichiarazioni rilasciate a The Verge dal CTO di Cloudflare John Graham-Cumming, "Si tratta di una vulnerabilità molto seria, a causa della diffusione di Java e della libreria Log4j. C'è un'enorme quantità di software Java connessi alla rete e nei back-end dei sistemi. Se penso agli ultimi 10 anni, ci sono solo due exploit così gravi: Heartbleed, che permetteva di ottenere informazioni da server teoricamente sicuri, e Shellshock, che consentiva di eseguire codice su una macchina remota".
La libreria Log4j ha già ricevuto una patch che va a mitigare la vulnerabilità, ma visto il gran numero di macchine da aggiornare e il tempo necessario per farlo, Log4Shell rimane una minaccia parecchio preoccupante.
Il ricercatore Marcus Hutchins, famoso per aver bloccato il malware WannaCry, ha dichiarato che "milioni di app usano Log4j per il logging, e tutto ciò che un malintenzionato deve fare è far loggare all'applicazione una stringa speciale". Per sfruttare la vulnerabilità, gli hacker devono far sì che il software salvi una stringa di caratteri speciali all'interno del file log. Questi file solitamente raccolgono molti dati, fattore che gioca a favore degli hacker, in quanto la vulnerabilità risulta molto semplice da sfruttare.
Come riportato da Ars Technica, Log4Shell è stata inizialmente scovata su dei server di Minecraft, dove gli hacker riuscivano a sfruttarla semplicemente scrivendo dei messaggi in chat. La compagnia di sicurezza GreyNoise afferma di aver già identificato diversi server che cercano macchine vulnerabili all'exploit.
LunaSec ha dichiarato che anche Steam e iCloud sono vulnerabili a Log4Shell. Doug Lombardi, un rappresentate di Valve, ha dichiarato che gli ingegneri dell'azienda hanno controllato immediatamente le macchine e, grazie alle norme di sicurezza in merito a codice non attendibile, non credono che Steam sia a rischio.