Da ieri è stata resa nota una vulnerabilità CRITICA (livello 10 su una scala di 10) che affligge il componente Log4J che fa parte dell’Apache Logging Project.
Semplificando, la vulnerabilità CVE-2021-44228 (chiamata Log4Shell) permette di far eseguire codice remoto arbitrario sul server nel quale è presente la libreria, semplicemente facendo registrare – nei log creati dal componente- una apposita stringa.
La vulnerabilità è gravissima anche perchè è stata già diffusa una Proof of Concept, che consente a chiunque di sfruttarla.
Il componente Log4J è spesso presente in server che utilizzano Java (es. Minecraft) ma è stato riscontrato che è presente nei sistemi IT di iCloud, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase e sicuramente altre decine di migliaia di servers.
Apache Foundation ha già rilasciato una patch (che peraltro non appare del tutto risolutiva).
Si esortano tutte le aziende ad applicare immediatamente la patch o a disattivare il componente (meglio).
Dato la larga diffusione del componente (presente anche in alcuni applicativi “verticali”) riteniamo che essa verrà sfruttata dai soliti malintenzionati per molto tempo.
Anche per questo, è fondamentale eseguire periodiche procedure di vulnerability assessment (i tools di assessment da noi usati già riportano la vulnerabilità).