Fin da subito, gli esperti di sicurezza avevano evidenziato la pericolosità di Log4Shell, la vulnerabilità scoperta nella libreria Log4j utilizzata da molte aziende Internet per analizzare i log di accesso ai web server e alle applicazioni. Come previsto sono numerose le segnalazioni di attacchi effettuati contro server non ancora aggiornati. Apache Software Foundation ha già rilasciato la patch che risolve il problema.
Log4Shell: attacchi con botnet e cryptominer
La vulnerabilità era presente in Log4j fino alla versione 2.14.1. Utilizzando una specifica stringa, che viene elaborata dalla libreria Java, i malintenzionati possono eseguire codice arbitrario, prendere il controllo del server e installare malware di ogni tipo. Microsoft ha rilevato diversi attacchi con l’obiettivo di rubare le credenziali di login o altri dati e installare cryptominer, uno dei quali è Kinsing che usa le risorse hardware per generare monete digitali.
Gli esperti di Netlab 360 hanno invece scoperto che la vulnerabilità è stata sfruttata da Mirai e Muhstik, due botnet che utilizzano i server per il mining delle criptovalute e l’esecuzione di attacchi DDoS.
Sempre Microsoft ha rilevato un uso illecito di Cobalt Strike (noto tool di penetration test) per accedere ai server ed eseguire varie attività dirette oppure per “aprire la porta” ad altri attacchi, tra cui l’installazione di ransomware.
Ovviamente la soluzione migliore è aggiornare la libreria Log4j alla versione 2.15.0. In ogni caso è necessario attuare tutte le misure di sicurezza per ridurre al minimo i rischi. Microsoft suggerisce, ad esempio, di attivare la protezione cloud di Defender Antivirus.