Molte applicazioni e server basati su Java sono vulnerabili al nuovo exploit Log4Shell

11

Perché è importante: all’inizio di questa settimana, gli sviluppatori della piattaforma di sicurezza open source LunaSec hanno scoperto una vulnerabilità zero-day che interessa una libreria di registrazione basata su Java ampiamente utilizzata. La vulnerabilità, identificata in un post sul blog come Log4Shell (CVE-2021-44228), può offrire a terzi la possibilità di eseguire codice dannoso su sistemi vulnerabili.

La scoperta della vulnerabilità è attribuita ai ricercatori di LunaSec e Chen Zhaojun di Alibaba Cloud Security. Sfrutta un’utilità di registrazione basata su Apache ampiamente utilizzata, log4j, per registrare i dati del server con payload dannosi che attivano una serie di azioni per iniettare un payload secondario. Il payload secondario consente l’esecuzione remota del codice sul sistema interessato.

I ricercatori responsabili dell’identificazione della vulnerabilità, scoperta inizialmente sui server Minecraft, ritengono che centinaia di migliaia di aziende e sistemi potrebbero essere a rischio a causa dell’uso diffuso del servizio di registrazione basato su Apache. Gli analisti hanno già identificato come vulnerabili diverse grandi aziende e servizi, tra cui Amazon, Apple, Elastic, Steam, Tencent e Twitter. Il direttore della sicurezza informatica della National Security Agency, Robert Joyce, ha anche confermato che anche GHIDRA, lo strumento di reverse engineering open source dell’agenzia, è stato colpito.

LunaSec osserva che chiunque utilizzi il framework Apache Struts è probabilmente vulnerabile. Un aggiornamento successivo ha ampliato la dichiarazione, indicando che le versioni JDK superiori a 6u211, 7u201, 8u191 e 11.01 non sono interessate dal vettore basato su LDAP dell’attacco. Tuttavia, ciò non significa che le versioni successive siano completamente immuni, poiché è ancora possibile utilizzare vettori di attacco alternativi per sfruttare la vulnerabilità di Log4Shell per avviare l’esecuzione di codice in modalità remota.

La scoperta di LunaSec e il CVE risultante forniscono ai sistemi interessati misure di mitigazione temporanee e permanenti per garantire che l’exploit non abbia un impatto negativo sui loro server e operazioni. Una versione aggiornata del servizio log4j, v2.15.0, ha corretto l’exploit ed è stata resa disponibile per il download. Nel CVE è stata fornita anche una mitigazione temporanea per le organizzazioni che non sono in grado di aggiornare il proprio servizio log4j in questo momento.

Credito immagine: Markus Spiske

Fonte di registrazione: www.techspot.com

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More