Vi avevamo ampiamente anticipato, nel nostro articolo di Log4Shell una vulnerabilità zero-day che da giorni mette in allerta big tech e governi di mezzo mondo e che continua a far discutere, vediamo come verificare la sua presenza e risolvere in parte il problema.
Come ormai noto, la vulnerabilità costringe le applicazioni e i server basati su Java che utilizzano la libreria Log4j a registrare una riga specifica nei propri sistemi interni.
Quando un’applicazione o un server elabora tali registri, una stringa può far scaricare ed eseguire uno script dannoso sul sistema vulnerabile dal dominio controllato dell’attaccante.
Il risultato sarà un completo dirottamento dell’applicazione o del server vulnerabile.
Tutti i prodotti che utilizzano questa libreria sono esposti a questo nuovo CVE.
Anche un hacker alle prime armi può eseguire con successo un attacco sfruttando questa vulnerabilità.
Gli aggressori, infatti, non devono fare altro che forzare l’applicazione a scrivere solo una stringa nel registro e caricare successivamente il proprio codice nell’applicazione grazie alla funzione di sostituzione della ricerca dei messaggi.
In questo modo possono gli hacker possono trasferire informazioni a un server controllato da loro, portando all’esecuzione di codice arbitrario o a una fuga di informazioni riservate o ad altri attacchi ad ampio raggio.
Evgeny Lopatin, esperto di sicurezza di Kaspersky, ha così commentato:
“Ciò che rende questa vulnerabilità particolarmente pericolosa non è solo il fatto che gli attaccanti possono ottenere il controllo completo del sistema, ma quanto sia facile da sfruttare. Anche un hacker inesperto può trarne vantaggio. Stiamo già osservando, infatti, che i cyber criminali cercano attivamente software da sfruttare con questo CVE. Tuttavia, la buona notizia è che una soluzione di sicurezza affidabile è in grado di proteggere gli utenti”.
Log4Shell : verificare la presenze e risolvere
Per proteggersi da questa nuova minaccia, gli esperti di Kaspersky consigliano di scaricare la versione più recente della libreria.
Nel caso non fosse possibile aggiornare la versione, sul sito di Apache Log4j 2 sono disponibili una serie di metodi di mitigazione per bloccare manualmente questa vulnerabilità. Per esempio, gli utenti di Java 8 (o versioni successive) devono eseguire l’aggiornamento alla versione 2.16.0; quelli con Java 7 hanno bisogno della patch versione 2.12.2 (sarà disponibile a breve);
Negli altri casi è necessario rimuovere la classe JndiLookup dal classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
