Sulla rete è da diverse ore ormai allarme rosso. Precisamente da quando si è diffusa la notizia della presenza su internet di quella che è stata definita come la più grande vulnerabilità della storia recente del web. Si tratta di Log4Shell (CVE-2021-44228), una vulnerabilità zero-day in Log4j, un popolare framework di registrazione Java, che implica l’esecuzione di codice arbitrario. La vulnerabilità è stata divulgata privatamente ad Apache dal Cloud Security Team di Alibaba il 24 novembre 2021, ma è stata resa pubblica solamente il 9 dicembre 2021.
La Apache Foundation aveva rilasciato la versione 2.16 della sua utility di logging per arginare il problema, ma nelle ultime ore è emerso che la soluzione non risolvere la questione, visto che è stata scoperta una seconda vulnerabilità (CVE-2021-45046) nella libreria che richiede l’immediata installazione di un’altra patch. Ma procediamo con ordine.
Log4Shell, cos’è e come agisce?
La vulnerabilità sfrutta Log4j consentendo richieste a server LDAP e JNDI arbitrari e non controllando le risposte, consentendo agli aggressori di eseguire codice Java arbitrario su un server o altro computer, o di divulgare informazioni sensibili. I servizi interessati includono Amazon AWS, Cloudflare, iCloud, Minecraft: Java Edition, Steam, Tencent QQ e molti altri ancora. LunaSec ha definito la vulnerabilità come “un fallimento progettuale di proporzioni catastrofiche” e Tenable come “la singola vulnerabilità più grande e più critica dell’ultimo decennio“.
L’Apache Software Foundation, di cui Log4j è un progetto, ha assegnato a Log4Shell un punteggio di gravità CVSS di 10, il punteggio più alto disponibile. Ma non è tutto: come accennato prima, è stata scoperta una seconda vulnerabilità (CVE-2021-45046) che consente di attaccare server e applicazioni basati su Java da remoto.
Per questo motivo i ricercatori di tutte le principali aziende che si occupano di sicurezza informatica fanno sapere che la patch rilasciata la scorsa settimana per correggere la prima vulnerabilità Log4Shell è incompleta, e per questo motivo consigliano di installare subito il nuovo aggiornamento. La Apache Foundation ha infatti rilasciato una seconda correzione della libreria Log4j (versione 2.16), che serve a disabilitare il supporto JNDI per impostazione predefinita, e a rimuovere del tutto la gestione della ricerca dei messaggi.
Microsoft, intanto, ha scoperto che molti attacchi sono stati effettuati da gruppi finanziati da alcuni paesi, tra cui Cina, Iran, Corea del Nord e Turchia. Notizia confermata anche dal Wall Street Journal, che riporta come fonte Mandiant, una nota società di sicurezza informatica americana.