Cos’è Log4Shell, il bug che spaventa Internet?

Dopo la versione 2.15.0 pubblicata lo scorso venerdì per tentare di chiudere la falla di sicurezza Log4Shell, gli sviluppatori della Apache software foundation hanno rilasciato l’aggiornamento Log4j 2.16.0 che sembra correggere in maniera definitiva la vulnerabilità che spaventa Internet.

Emerso giorni fa, il bug permetterebbe ai criminali informatici di violare i sistemi di un numero considerevole di aziende a livello globale, che poggiano le loro infrastrutture informatiche sulla libreria di codici Log4j, utile per sviluppare le loro app e servizi.

Tra gli interessati anche Twitter, Amazon e Apple. Proprio quest’ultima ha comunicato di aver recepito l’aggiornamento della Apache software foundation e di aver così corretto, per quanto le riguarda, la libreria usata da iCloud, la piattaforma che conserva foto e altri dati sensibili di chi possiede un dispositivo di Cupertino, coinvolta nella problematica.

Microsoft ha rilasciato un aggiornamento software per gli utenti della versione online del videogame Minecraft, da cui erano arrivate le prime avvisaglie del bug, e così ha fatto Valve, che sviluppa il sito e l’app di streaming videoludico Steam. La società ha confermato di aver analizzato i suoi servizi, concludendo che non vi sono più rischi di sicurezza.

In Europa si calcola che da quando è stata resa pubblica la falla vi sono stati tentativi di sfruttarla su quasi il 40% delle reti aziendali. Un report degli specialisti di Bit Defender spiega che le attività degli hacker si concentrano, principalmente, sull’utilizzare il bug per entrare nei sistemi informatici e da lì scatenare attacchi diretti ad obiettivi ben precisi, come le infrastrutture fisiche energetiche.

Il ricercatore esperto di cybersecurity, Márcio Almeida, al rilascio di Log4j 2.16.0 ha verificato che la nuova versione è effettivamente esente dalla vulnerabilità e per questo invita ogni impresa ad aggiornare la libreria di codici su cui basa i propri progetti, passando alla più recente.