Urgente update per vulnerabilità alla libreria Log4j: rischiano app java, siti e altri importanti servizi
Dopo la scoperta di un’importante vulnerabilità che mette a rischio di attacco quasi tutte le applicazioni aziendali, arriva un update di urgenza. Infatti, il bug permette di prendere il controllo dei server e client anche di servizi famosi quali iCloud, Twitter e Minecreft. La minaccia è stata battezzata Log4j, dal nome della libreria vulnerabile.
Log4j: vulnerabilità
L’ Apache Software Foundation ha rilasciato un aggiornamento di sicurezza di emergenza che corregge la vulnerabilità in Log4j. Tale vulnerabilità è stata denominata Log4Shell, ed ha ottenuto 10 su 10 nella scala di vulnerabilità CVSS. Infatti, il bug permette di sfruttare la vulnerabilità anche da remoto, per altro senza particolari competenze tecniche.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
Il funzionamento di Log4Shell
Nel proprio blog, la società di sicurezza LunaSec descrive come funziona Log4Shell: la vulnerabilità costringe applicazioni e server basati su Java -che utilizzano la libreria Log4j- a registrare una riga specifica nei propri sistemi interni. Quindi, quando un server o un’applicazione elabora tali registri, una stringa può far scaricare ed eseguire uno script dannoso sul sistema vulnerabile dal dominio controllato da chi attacca. Ne risulterà il completo dirottamento del server -o applicazione- vulenrabile.
Quali sono i siti e le app colpiti dal bug Log4j?
In origine, si trattava dei server di Minecraft; ora, Log4j è presente in quasi tutte le applicazioni aziendali e server java.
In effetti, la libreria Log4j è in tutti i prodotti aziendali rilasciati dalla Apache Software Foundation e in vari progetti come Redis, ElasticSearch, Elastic Logstash, Ghidra. Perciò anche le aziende che utilizzano uno di questi prodotti sono attualmente vulnerabili. Addirittura, specialisti della sicurezza delle informazioni segnalano una possibile vulnerabilità di colossi come Apple (iCloud), Amazon, Twitter e migliaia di altre aziende.
LEGGI ANCHE: