In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Aiello del Friuli
      2. Amaro
      3. Ampezzo
      4. Andreis
      5. Aquileia
      6. Arba
      7. Arta Terme
      8. Artegna
      9. Arzene
      10. Attimis
      11. Aviano
      12. Azzano Decimo
      1. Bagnaria d'Arsa
      2. Barcis
      3. Basiliano
      4. Bertiolo
      5. Bicinicco
      6. Bordano
      7. Brugnera
      8. Budoia
      9. Buia
      10. Buttrio
      1. Camino al Tagliamento
      2. Campoformido
      3. Campolongo al Torre
      4. Caneva
      5. Carlino
      6. Casarsa della Delizia
      7. Cassacco
      8. Castelnovo del Friuli
      9. Castions di Strada
      10. Cavasso Nuovo
      11. Cavazzo Carnico
      12. Cercivento
      13. Cervignano del Friuli
      14. Chions
      15. Chiopris-Viscone
      16. Chiusaforte
      17. Cimolais
      18. Cividale del Friuli
      19. Claut
      20. Clauzetto
      21. Codroipo
      22. Colloredo di Monte Albano
      23. Comeglians
      24. Cordenons
      25. Cordovado
      26. Corno di Rosazzo
      27. Coseano
      1. Dignano
      2. Dogna
      3. Drenchia
      4. Enemonzo
      5. Erto e Casso
      1. Faedis
      2. Fagagna
      3. Fanna
      4. Fiume Veneto
      5. Fiumicello
      6. Flaibano
      7. Fontanafredda
      8. Forgaria nel Friuli
      9. Forni Avoltri
      10. Forni di Sopra
      11. Forni di Sotto
      12. Frisanco
      1. Gemona del Friuli
      2. Gonars
      3. Grimacco
      1. Latisana
      2. Lauco
      3. Lestizza
      4. Lignano Sabbiadoro
      5. Ligosullo
      6. Lusevera
      1. Magnano in Riviera
      2. Majano
      3. Malborghetto Valbruna
      4. Maniago
      5. Manzano
      6. Marano Lagunare
      7. Martignacco
      8. Meduno
      9. Mereto di Tomba
      10. Moggio Udinese
      11. Moimacco
      12. Montenars
      13. Montereale Valcellina
      14. Morsano al Tagliamento
      15. Mortegliano
      16. Moruzzo
      17. Muzzana del Turgnano
      1. Nimis
      1. Osoppo
      2. Ovaro
      1. Pagnacco
      2. Palazzolo dello Stella
      3. Palmanova
      4. Paluzza
      5. Pasian di Prato
      6. Pasiano di Pordenone
      7. Paularo
      8. Pavia di Udine
      9. Pinzano al Tagliamento
      10. Pocenia
      11. Polcenigo
      12. Pontebba
      13. Porcia
      14. Pordenone
      15. Porpetto
      16. Povoletto
      17. Pozzuolo del Friuli
      18. Pradamano
      19. Prata di Pordenone
      20. Prato Carnico
      21. Pravisdomini
      22. Precenicco
      23. Premariacco
      24. Preone
      25. Prepotto
      26. Pulfero
      1. Ragogna
      2. Ravascletto
      3. Raveo
      4. Reana del Rojale
      5. Remanzacco
      6. Resia
      7. Resiutta
      8. Rigolato
      9. Rive d'Arcano
      10. Rivignano
      11. Ronchis
      12. Roveredo in Piano
      13. Ruda
      1. Sacile
      2. San Daniele del Friuli
      3. San Giorgio della Richinvelda
      4. San Giorgio di Nogaro
      5. San Giovanni al Natisone
      6. San Leonardo
      7. San Martino al Tagliamento
      8. San Pietro al Natisone
      9. San Quirino
      10. San Vito al Tagliamento
      11. San Vito al Torre
      12. San Vito di Fagagna
      13. Santa Maria La Longa
      14. Sauris
      15. Savogna
      16. Sedegliano
      17. Sequals
      18. Sesto al Reghena
      19. Socchieve
      20. Spilimbergo
      21. Stregna
      22. Sutrio
      1. Taipana
      2. Talmassons
      3. Tapogliano
      4. Tarcento
      5. Tarvisio
      6. Tavagnacco
      7. Teor
      8. Terzo d'Aquileia
      9. Tolmezzo
      10. Torreano
      11. Torviscosa
      12. Tramonti di Sopra
      13. Tramonti di Sotto
      14. Trasaghis
      15. Travesio
      16. Treppo Carnico
      17. Treppo Grande
      18. Tricesimo
      19. Trivignano Udinese
      1. Udine
      1. Vajont
      2. Valvasone
      3. Varmo
      4. Venzone
      5. Verzegnis
      6. Villa Santina
      7. Villa Vicentina
      8. Visco
      9. Vito d'Asio
      10. Vivaro
      1. Zoppola
      2. Zuglio
Sicurezza

Falla in Java, scatta l’allarme rosso sulla Rete. E non è un’esercitazione

Falla in Java, scatta l’allarme rosso sulla Rete. E non è un’esercitazione
Gli esperti dell’Agenzia nazionale per la Cybersicurezza avvertono di una vulnerabilità nel codice della Apache Foundation, tra i più diffusi al mondo e usato anche su Marte. Riguarda server, smartwatch e tablet
3 minuti di lettura

L’allarme è rosso, il rischio elevato e lo scenario che si sta aprendo, spaventoso. Una vulnerabilità del software Java appena identificata sta mettendo a rischio tutta la rete Internet proprio in queste ore. A confermare la notizia data il 9 dicembre da alcuni esperti, sono il sito dello Csirt, il Computer Security Incident Response Team - Italia e un successivo comunicato della neonata Agenzia Nazionale per la Cybersicurezza (ACN). La vulnerabilità è stata denominata Log4Shell e la sua criticità è massima poiché permette l'esecuzione di codice da remoto senza autenticazione, e interessa applicazioni Java-based che utilizzano un prodotto Apache di nome Log4j 2, dalla versione 2.0 fino alla 2.14.1. Usandola l’attaccante può ottenere un accesso persistente alla macchina bersaglio.

Questo modulo open source di Apache Project, si trova al cuore della maggioranza delle applicazioni ospitate dai server di tutto il mondo e, dice il comunicato dell’ACN, “Ciò comporta la presenza di una vasta e diversificata superficie di attacco sulla totalità della rete Internet e, considerata la sua semplicità di sfruttamento anche da parte di attori non sofisticati, rende la vulnerabilità particolarmente grave". Log4j è ampiamente utilizzata nello sviluppo di sistemi aziendali, ed è inclusa in moltissimi software open-source e spesso direttamente integrata in importanti applicazioni software. Inoltre, essendo multipiattaforma, lo sfruttamento della vulnerabilità si ripercuote sia su Windows che su Linux e sono da considerare potenzialmente vulnerabili anche i sistemi di backend e i microservizi. Per capire l’entità del problema basti pensare che Java è su circa 3 miliardi di dispositivi. E Log4j, sviluppato da Apache, è usato da quasi tutti i programmatori. Perfino Ingenuity, l’elicottero della Nasa atterrato sul suolo di Marte lo scorso febbraio, ha un software che usa Log4j.

Ricapitolando, la vulnerabilità risiede nel modulo di messaggistica del prodotto software e consente l'esecuzione di codice arbitrario da remoto sul server che utilizza la libreria portando alla sua completa compromissione senza necessità di autenticazione. Un bug come un altro? Proprio per niente, perché il problema riguarda sia le aziende e le istituzioni che i singoli cittadini, in quanto, come riporta il sito dell’AGI, diversi esperti hanno evidenziato come il suo sfruttamento potrebbe presto riguardare anche il singolo utente, un possessore di smartphone, o di uno smartwatch: “Hacker malevoli potrebbero diffondere link corrotti e aprire tramite questa vulnerabilità delle backdoor sui dispositivi delle persone, telefoni, tablet, qualsiasi oggetto connesso alla rete. E una volta aperta una backdoor può fare quello che vuole”.

E infatti mentre scriviamo giungono notizie di uno sfruttamento di questa vulnerabilità da Twitter e Minecraft soprattutto per estrarre cryptomonete utilizzando la potenza di calcolo delle macchine compromesse. I tecnici dell'Agenzia per la cybersicurezza nazionale, in costante contatto con le omologhe agenzie europee ed internazionali, raccomandano, vista la pericolosità della vulnerabilità, "di ridurre al minimo la sua esposizione su Internet applicando le necessarie misure ai propri server nel più breve tempo possibile".

Ma all’allarme si aggiunge un’altra inquietudine. A segnalare che la vulnerabilità del software poteva essere facilmente sfruttata è stato un ricercatore cinese. Secondo Enrico Frumento, ingegnere e ricercatore di cybersecurity del Cefriel ci si deve chiedere da quanto tempo il metodo di sfruttamento è noto nel paese del Dragone: “Senza scadere nel facile complottismo segnalo solo che per la legge cinese in vigore da settembre che regola la gestione delle vulnerabilità informatiche, all'articolo 9 impone di mantenere segreti i dettagli delle falle di sicurezza fino a quando non siano disponibili i rimedi o finché il governo non conceda un permesso speciale per renderle pubbliche”. A leggere la norma si comprende infatti come ai ricercatori cinesi non sia permesso “esagerare deliberatamente i pericoli e i rischi di un bug” ma anche che “è vietato fornire informazioni riservate sulla vulnerabilità della sicurezza dei prodotti di rete a organizzazioni o individui esteri diversi dai fornitori di prodotti di rete.”

Lo CSIRT Italia sta pubblicando aggiornamenti di sicurezza sul portale pubblico https://csirt.gov.it, incluse anche le procedure per risolvere la citata vulnerabilità, ai quali i responsabili tecnici dei servizi IT pubblici e privati sono invitati a fare riferimento, e consiglia di installare il prodotto Log4j 2 nella versione 2.15.0, oppure qualora non fosse possibile, di “ridurre la superficie di attacco”, prima di subito. Il servizio, da poco passato sotto l’egida dell’ACN dal DIS, il dipartimento che sovrintende i nostri servizi segreti, segnala specifiche misure di mitigazione disponibili per vari prodotti, ad esempio un catalogo alfabetico dei prodotti e delle aziende interessate dalla minaccia.

Anche il Microsoft Threat Intelligence Center (MSTIC) è al lavoro e ha sviluppato una serie di linee guida per la ricerca, l’individuazione e la prevenzione della vulnerabilità. In attesa di evoluzioni di questo scenario una domanda rimane: Se la prova di una vulnerabilità simile era presente su GitHub dal 16 Aprile 2021, perché abbiamo lasciato che tutto ciò accadesse? Secondo Pierluigi Paganini, esperto di cybersicurezza, “É lecito chiedersi chi, e come, abbia già sfruttato in passato questa falla. La vulnerabilità è stata infatti scoperta mesi addietro e nel frattempo un attore malevolo avrebbe potuto prendere di mira sistemi di tutto il mondo esfiltrando informazioni sensibili e confidenziali in campagne di cyber-spionaggio. Per questo motivo andrebbero condotte analisi approfondite per cercare evidenze di eventuali compromissioni pregresse, soprattutto in sistemi di aziende ed organizzazioni che operano in settori critici.”