Log4j: un bug di sicurezza che mette paura.

L’Apache Software Foundation ha rilasciato un aggiornamento di sicurezza in emergenza che risolve una vulnerabilità di esecuzione di codice remoto (CVE-2021-44228) nella libreria Java Log4j.

La vulnerabilità, soprannominata Log4Shell, può essere sfruttata costringendo applicazioni e server basati su Java con la libreria Log4j a registrare una stringa specifica sui propri sistemi interni.

Quando un’applicazione o un server elabora i log, questa riga può far caricare ed eseguire script dannosi dal sistema vulnerabile dal dominio controllato dell’attaccante. Pertanto, gli hacker possono assumere il controllo dell’applicazione o del server.

La vulnerabilità Log4Shell ha ottenuto un punteggio massimo di 10 sulla scala CVSSv3 perché può essere sfruttata da remoto e non richiede competenze tecniche speciali per eseguire il codice.

Un rischio critico deriva dalla presenza onnipresente di Log4j in quasi tutte le principali applicazioni e server aziendali basati su Java. Ad esempio, Log4j è incluso in quasi tutti i prodotti aziendali rilasciati dalla Apache Software Foundation come Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo, ecc. Altri progetti open source (Anche Redis, ElasticSearch, Elastic Logstash, Ghidra di NSA) utilizzano la libreria in una certa misura.

Secondo gli esperti di LunaSec, i server di Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase e forse migliaia di altre società sono interessati da questa vulnerabilità.

Secondo un ricercatore cinese di sicurezza informatica che utilizza l’alias p0rz9, CVE-2021-44228 può essere sfruttato solo se il parametro log4j2.formatMsgNoLookups è impostato su false nella configurazione della libreria.

Nella versione rivista di Log4j 2.15.0, questo parametro è impostato su true, per prevenire gli attacchi. Gli utenti di Log4j che hanno eseguito l’aggiornamento alla versione 2.15.0 ma hanno impostato questo flag su false rimarranno vulnerabili agli attacchi. Allo stesso modo, gli utenti della versione precedente di Log4j con il flag impostato su true possono bloccare gli attacchi.

Secondo gli esperti di sicurezza delle informazioni, i criminali informatici stanno già analizzando la rete alla ricerca di applicazioni che potrebbero essere vulnerabili agli attacchi Log4Shell.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks