Una patch creata per risolvere ma con risvolti davvero inaspettati (e disastrosi). Anziché chiudere la vulenrabilità di Java Log4J ha finito con introdurne due di nuove. Gli hacker pronti a scattare sono già all’opera per sfruttarle a dovere.
Nei giorni scorsi era stato scoperto un bug di rilievo nella libreria Apache Log4J. La vulnerabilità era stata resa nota con il nome Log4Shell, una grossa falla a favore di attacchi esterni. Teoricamente si è trattato di un bug 0-day, insita nel software sin dall’inizio e individuata troppo tardi. Trattandosi di un elemento Java, era già diffusissimo una volta scoperta la falla.
Per risolvere si è corsi ai ripari aggiornando rapidamente Log4J con la nuova versione 2.15.0. Purtroppo la miracolosa soluzione pare non fosse poi una manna dal cielo. Tra quelli riusciti a completare l’aggiornamento ora sale il panico. La 2.15.0 presenta altre due falle che gli hacker hanno già individuato, pronti a sfruttarle.
LEGGI ANCHE: Nuovo attacco hacker per Panasonic: fortemente danneggiati i suoi sistemi, e forse qualcosa di più
In altre parole, la patch generata non ha fatto che acuire il problema iniziale. Insomma ne serve un’altra fortunatamente già in arrivo: la 2.16.0. La vulnerabilità da coprire è la CVE-2021-45046. Un codice che non ha fatto dormire parecchia gente.
La 2.16.0 finalmente dovrebbe chiudere questo capitolo. Inibirà infatti anche quello che sembra il diretto responsabile di tutte le falle di Log4J: il Java Naming and Directory Interface.
La dinamica delle falle
Le falle generate dalla versione 2.15.0 di Log4J sono state legate a due aperture indesiderate ad attacchi esterni. Una permetteva su determinate configurazioni ingressi in grado di bloccare tutto il sistema. Si trattava di interferenze simili a un DDoS, che disturba il traffico del server amplificandolo.
LEGGI ANCHE: 4,5 Milioni di dollari e forse il carcere: la vicenda di un hacker di Nintendo Switch
La seconda falla rendeva possibile invece di scaricare dati dal server senza richiesta di autorizzazione. Entrambi i problemi hanno la stessa origine: le nuove funzionalità di Log4J oltretutto non essenziali. Si tratta di strumenti che usano solo alcuni sviluppatori professionisti. Il caso sarebbe risultato circoscritto se avesse scaricato la libreria solo chi effettivamente necessitava di tali funzioni.
Purtroppo però a molte librerie succede di ingrandirsi finendo col risultare vulnerabili. Le funzioni accessorie inutilizzate possono diventare minacce. Inoltre sono scomode poiché aumentano considerevolmente il peso dell’applicazione. Il troppo stroppia, come si suol dire.