Un primo banco di prova per l’Agenzia per la cybersicurezza nazionale guidata da Roberto Baldoni. Si chiama Log4Shell ed è una vulnerabilità critica che in queste ore sta mettendo in allerta big tech e governi. Attacca il modulo open source di Apache Project, cuore della maggior parte delle applicazioni ospitate dai server di tutto il mondo, e può innescare un pericoloso effetto a catena.

A lanciare l’allarme in Italia è l’Acn con un comunicato che invita alla prudenza e parla di “una vasta e diversificata superficie di attacco sulla totalità della rete internet”. “I tecnici dell’Agenzia per la Cybersicurezza Nazionale, in costante contatto con le omologhe agenzie europee ed internazionali, raccomandano, vista la pericolosità della vulnerabilità, di ridurre al minimo la sua esposizione su internet applicando le necessarie misure ai propri server nel più breve tempo possibile”, si legge nella nota diffusa questo pomeriggio.

Scoperta già il 24 novembre dal colosso cinese Alibaba, la vulnerabilità riguarda una utility open source di Java utilizzata da migliaia di aziende per effettuare debug e logging all’interno di più portali e servizi web. In una nota anche l’Agenzia cyber degli Stati Uniti (Cisa) ha suonato un campanello d’allarme: “Un aggressore da remoto potrebbe sfruttare questa vulnerabilità per prendere il controllo di un sistema infetto”.

Tra i principali target della vulnerabilità c’è Minecraft: proprio dagli utenti di siti legati al popolare gioco online sono partite le prime segnalazioni. “La sua semplicità di sfruttamento, anche da parte di attori non sofisticati, rende la segnalata vulnerabilità particolarmente grave”, spiegano dall’Acn.

Per l’Agenzia si tratta del primo test di intervento da quando è stata inaugurata. Assicurare la continuità di un servizio essenziale non è una prova banale, per un’organizzazione che è ancora in piena fase di start-up e al momento conta appena 90 risorse. Sul sito dello Csirt (Computer security incident response team) sono stati intanto pubblicati nuovi dettagli sulla vulnerabilità definita “di livello critico”, cui è stato assegnato il massimo punteggio (CVSSv3: 10) perché “permette l’esecuzione di codice da remoto (RCE) senza autenticazione”.

“L’eventuale sfruttamento della falla consente l’esecuzione di codice arbitrario a danno dell’applicazione affetta”, avvisano dallo Csirt. “Gli aggressori, che non necessitano di un accesso preventivo al sistema, possono inviare una richiesta https malformata tramite una stringa appositamente predisposta, per generare un log su Log4j – che adotta JNDI (Java Naming and Directory Interface) – al fine di registrare la stringa dannosa nel registro dell’applicazione”.

Di qui il funzionamento di Log4Shell. “Durante l’elaborazione del registro, il sistema vulnerabile si troverà nelle condizioni di esegue il codice appositamente inserito dall’utente malintenzionato. Questa condizione può ad esempio portare l’applicazione ad effettuare una richiesta verso un dominio dannoso per eseguire un payload malevolo. In questo modo per l’attaccante sarà possibile acquisire il controllo dell’applicazione interessata e l’accesso completo al sistema”.

Intanto, spiegano i tecnici del governo, un ricercatore ha messo a disposizione un catalogo alfabetico sulle specifiche misure di mitigazione disponibili per i vari prodotti affetti dalla vulnerabilità, con una lista che per il momento ne include ben 150. Sul sito sono poi elencate altre misure per mitigare la vulnerabilità e ridurre la superficie d’attacco.