Redazione RHC : 10 Dicembre 2021 20:12
L’Apache Software Foundation ha rilasciato un aggiornamento di sicurezza in emergenza che risolve una vulnerabilità di esecuzione di codice remoto (CVE-2021-44228) nella libreria Java Log4j.
La vulnerabilità, soprannominata Log4Shell, può essere sfruttata costringendo applicazioni e server basati su Java con la libreria Log4j a registrare una stringa specifica sui propri sistemi interni.
Quando un’applicazione o un server elabora i log, questa riga può far caricare ed eseguire script dannosi dal sistema vulnerabile dal dominio controllato dell’attaccante. Pertanto, gli hacker possono assumere il controllo dell’applicazione o del server.
La vulnerabilità Log4Shell ha ottenuto un punteggio massimo di 10 sulla scala CVSSv3 perché può essere sfruttata da remoto e non richiede competenze tecniche speciali per eseguire il codice.
Un rischio critico deriva dalla presenza onnipresente di Log4j in quasi tutte le principali applicazioni e server aziendali basati su Java. Ad esempio, Log4j è incluso in quasi tutti i prodotti aziendali rilasciati dalla Apache Software Foundation come Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo, ecc. Altri progetti open source (Anche Redis, ElasticSearch, Elastic Logstash, Ghidra di NSA) utilizzano la libreria in una certa misura.
Secondo gli esperti di LunaSec, i server di Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase e forse migliaia di altre società sono interessati da questa vulnerabilità.
Secondo un ricercatore cinese di sicurezza informatica che utilizza l’alias p0rz9, CVE-2021-44228 può essere sfruttato solo se il parametro log4j2.formatMsgNoLookups è impostato su false nella configurazione della libreria.
Nella versione rivista di Log4j 2.15.0, questo parametro è impostato su true, per prevenire gli attacchi. Gli utenti di Log4j che hanno eseguito l’aggiornamento alla versione 2.15.0 ma hanno impostato questo flag su false rimarranno vulnerabili agli attacchi. Allo stesso modo, gli utenti della versione precedente di Log4j con il flag impostato su true possono bloccare gli attacchi.
Secondo gli esperti di sicurezza delle informazioni, i criminali informatici stanno già analizzando la rete alla ricerca di applicazioni che potrebbero essere vulnerabili agli attacchi Log4Shell.
RedazioneIl Consiglio Supremo di Difesa, si è riunito recentemente al Quirinale sotto la guida del Presidente Sergio Mattarella, ha posto al centro della discussione l’evoluzione delle minacce ibride e digi...
Esattamente 40 anni fa, il 20 novembre 1985, Microsoft rilasciò Windows 1.0, la prima versione di Windows, che tentò di trasformare l’allora personal computer da una macchina con una monotona riga...
Oggi ricorre la Giornata Mondiale dell’Infanzia, fissata dall’ONU il 20 novembre per ricordare due atti fondamentali: la Dichiarazione dei Diritti del Fanciullo del 1959 e, trent’anni dopo, la C...
Con nuove funzionalità per anticipare le minacce e accelerare il ripristino grazie a sicurezza di nuova generazione, approfondimenti forensi e automazione intelligente, Veeam lancia anche la Universa...
Milioni di utenti sono esposti al rischio di infezioni da malware e compromissione del sistema a causa dello sfruttamento attivo da parte degli hacker di una vulnerabilità critica di esecuzione di co...
