Apple ha corretto la vulnerabilità di Log4Shell in iCloud, dopo che la scorsa settimana è stato rivelato che una falla di sicurezza nello strumento open source log4j ha messo a rischio milioni di app e siti web in tutto il mondo. Si tratta di una delle criticità più importanti dell’ultimo decennio.
Gli esperti di sicurezza informatica hanno descritto la vulnerabilità come “l’incendio di Internet” e “la vulnerabilità di sicurezza più critica in un decennio”. Log4j è uno strumento di registrazione open source molto utilizzato sia da siti Web, che dalle app. Una falla di sicurezza scoperta in questo strumento poteva essere sfruttata letteralmente in milioni di app e siti web.
Un nuovo exploit chiamato Log4Shell ha creato grattacapi ai team di sicurezza delle grandi aziende tecnologiche. Se sfruttata, la vulnerabilità permette agli hacker di eseguire codice dannoso su server vulnerabili e, secondo quanto riferito, avrebbe potuto colpire piattaforme come iCloud e Steam.
Come dettagliato dalla società di sicurezza LunaSec, la vulnerabilità è stata individuata per la prima volta in log4j, come rileva The Verge, una libreria open source utilizzata da più app e siti Web per la registrazione, che è il processo di conservazione di un elenco delle attività eseguite per esaminarle in seguito per correggere bug o altri errori.
Secondo il ricercatore di sicurezza Marcus Hutchins, Log4Shell potrebbe interessare milioni di app in tutto il mondo poiché la libreria log4j è ampiamente utilizzata dagli sviluppatori. Oltre al pericolo rappresentato dall’uso diffuso di Log4j, è estremamente facile per un utente malintenzionato utilizzare l’exploit Log4Shell.
Per sfruttare la vulnerabilità, infatti, l’eventuale hacker dovrebbe far sì che l’app salvi una stringa speciale di caratteri nel registro. Poiché le applicazioni registrano regolarmente un’ampia gamma di eventi, come i messaggi inviati e ricevuti dagli utenti o i dettagli degli errori di sistema, la vulnerabilità è insolitamente facile da sfruttare e può essere attivata in vari modi.
iCloud di Apple era uno degli innumerevoli servizi e app vulnerabili all’exploit Log4Shell, in ogni caso Apple, Microsoft e altre società di tecnologia sono state rapide nel risolvere il problema. Secondo Eclectic Light Company, Apple ha risolto la falla di iCloud. Il sito riporta che i ricercatori sono stati in grado di dimostrare la vulnerabilità durante la connessione a iCloud tramite web il 9 dicembre e il 10 dicembre. Adesso, la stessa vulnerabilità non funziona più dall’11 dicembre. L’exploit non sembra aver interessato macOS.
La vulnerabilità è stata sfruttata in Minecraft prima che Microsoft lo aggiornasse durante il fine settimana. Adam Meyers di Crowdstrike ha affermato che la vulnerabilità è stata “completamente armata” e che gli strumenti erano prontamente disponibili per sfruttarla. “Internet è in fiamme in questo momento”, ha aggiunto poco dopo che l’exploit è stato reso pubblico.
Apache Software Foundation, che gestisce il progetto, ha valutato la falla con un punteggio di 10 nella sua scala di rischio a causa della facilità con cui potrebbe essere sfruttata, e per via della natura diffusa dello strumento. Il CEO della società di sicurezza informatica Tenable Amit Yoran l’ha definita come “la vulnerabilità più grande e più critica dell’ultimo decennio”.