Redazione RHC : 10 Dicembre 2021 20:12
L’Apache Software Foundation ha rilasciato un aggiornamento di sicurezza in emergenza che risolve una vulnerabilità di esecuzione di codice remoto (CVE-2021-44228) nella libreria Java Log4j.
La vulnerabilità, soprannominata Log4Shell, può essere sfruttata costringendo applicazioni e server basati su Java con la libreria Log4j a registrare una stringa specifica sui propri sistemi interni.
Quando un’applicazione o un server elabora i log, questa riga può far caricare ed eseguire script dannosi dal sistema vulnerabile dal dominio controllato dell’attaccante. Pertanto, gli hacker possono assumere il controllo dell’applicazione o del server.
La vulnerabilità Log4Shell ha ottenuto un punteggio massimo di 10 sulla scala CVSSv3 perché può essere sfruttata da remoto e non richiede competenze tecniche speciali per eseguire il codice.
Un rischio critico deriva dalla presenza onnipresente di Log4j in quasi tutte le principali applicazioni e server aziendali basati su Java. Ad esempio, Log4j è incluso in quasi tutti i prodotti aziendali rilasciati dalla Apache Software Foundation come Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo, ecc. Altri progetti open source (Anche Redis, ElasticSearch, Elastic Logstash, Ghidra di NSA) utilizzano la libreria in una certa misura.
Secondo gli esperti di LunaSec, i server di Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase e forse migliaia di altre società sono interessati da questa vulnerabilità.
Secondo un ricercatore cinese di sicurezza informatica che utilizza l’alias p0rz9, CVE-2021-44228 può essere sfruttato solo se il parametro log4j2.formatMsgNoLookups è impostato su false nella configurazione della libreria.
Nella versione rivista di Log4j 2.15.0, questo parametro è impostato su true, per prevenire gli attacchi. Gli utenti di Log4j che hanno eseguito l’aggiornamento alla versione 2.15.0 ma hanno impostato questo flag su false rimarranno vulnerabili agli attacchi. Allo stesso modo, gli utenti della versione precedente di Log4j con il flag impostato su true possono bloccare gli attacchi.
Secondo gli esperti di sicurezza delle informazioni, i criminali informatici stanno già analizzando la rete alla ricerca di applicazioni che potrebbero essere vulnerabili agli attacchi Log4Shell.
RedazioneQuesta mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
Il progetto Tor ha annunciato l’introduzione di un nuovo schema di crittografia, chiamato Counter Galois Onion (CGO), destinato a sostituire il precedente metodo Tor1 Relay. L’aggiornamento mira a...
L’attuale accelerazione normativa in materia di cybersicurezza non è un fenomeno isolato, ma il culmine di un percorso di maturazione del Diritto penale che ha dovuto confrontarsi con la dematerial...
