Log4Shell, l’exploit zero day che minaccia servizi e applicazioni
Un exploit zero day è stato scoperto nella popolare libreria di logging Java log4j (versione 2): la vulnerabilità è stata soprannominata Log4Shell dalla società di security LunaSec.
I credit per la scoperta di questo exploit sono attribuiti a Chen Zhaojun dell’Alibaba Cloud Security Team.
Sul proprio blog, LunaSec ha spiegato che l’exploit porta al Remote Code Execution (RCE) attraverso la registrazione nel log di una determinata stringa.
Siccome questa libreria è praticamente onnipresente, l’effetto dell’exploit – che può causare il controllo completo del server da parte di un aggressore – e quanto sia facile da sfruttare, l’impatto di questa vulnerabilità è considerata grave.
Sono molti (e molto popolari) i servizi che sarebbero vulnerabili a questo exploit.
Servizi cloud come Steam, Apple iCloud, e applicazioni come Minecraft sono già risultati vulnerabili, hanno messo in evidenza gli esperti di cybersecurity di LunaSec, che avvisano: chiunque usi Apache Struts è probabilmente vulnerabile.
La lista potrebbe dunque essere molto più lunga e tutte le principali aziende del settore si sono subito allertate per trovare una soluzione e supportare i clienti nell’affrontare e mitigare la minaccia.
Tra queste, ad esempio, Google Cloud, Cisco, Cloudflare, Microsoft, Aws e tante altre. È opportuno verificare con il proprio fornitore di servizi quali sono gli strumenti e le precauzioni da adottare.
Il già citato post di LunaSec contiene inoltre informazioni preziose e numerosi link a risorse utili per conoscere e difendersi dalla minaccia.
Nel frattempo, Apache Software Foundation ha rilasciato una patch di sicurezza per la vulnerabilità scoperta nella libreria Log4j.
Cloudflare, tra gli altri, ha avvisato che questa vulnerabilità è attivamente sfruttata e chiunque usi Log4j dovrebbe aggiornare alla versione 2.15.0 il prima possibile.
Fonte: 01net.it
Per informazioni info@roberto-cescut.it