L'impatto della famigerata vulnerabilità nella libreria Java Log4j si trascina. Sebbene il problema più grande sia stato risolto con la patch 2.16 urgente, anche questa versione sembra essere soggetta ad abusi. I ricercatori di sicurezza hanno trovato un ingresso per gli attacchi Denial of Service (DoS). Log4j 2.17 è stato pubblicato per chiudere la voce.
Apache, sviluppatore della libreria Java, consiglia alle organizzazioni di applicare la patch di emergenza. Questo consiglio si applica per la terza volta da quando la biblioteca è risultata vulnerabile.
Una settimana e mezzo fa, i ricercatori di sicurezza di Alibaba cloud il team di sicurezza ha rivelato un metodo per abusare delle applicazioni con Log4j. Log4j viene utilizzato nelle applicazioni per registrare gli eventi. È risultato possibile accedere alle applicazioni con la libreria dall'esterno con le istruzioni per l'esecuzione di malware. L'abuso richiede poco più di uno scatto. Aggiungete a ciò l'occorrenza stimata della libreria nella maggior parte degli ambienti aziendali e comprendete l'entità del disastro che deve affrontare il panorama IT globale.
Gli sviluppatori di software come Fortinet, Cisco, IBM e decine di altri utilizzano la libreria nel loro software. I loro sviluppatori hanno fatto gli straordinari durante il fine settimana dell'11 dicembre per elaborare la prima patch di emergenza per la vulnerabilità e distribuirla alle organizzazioni di utenti. Esattamente la stessa deriva era prevista dai team IT all'interno di queste organizzazioni. Centinaia di migliaia di tentativi di attacco hanno avuto luogo in tutto il mondo. Tutti hanno dovuto passare al 2.15 il prima possibile, fino a quando anche il 2.15 è risultato vulnerabile.
Alcune configurazioni della libreria sono rimaste possibili nella versione 2.15. L'utilizzo di queste configurazioni ha perpetuato la vulnerabilità. La versione 2.16 ha reso le configurazioni impossibili, garantendo una nuova patch. Spesso con dispiacere dei team IT già oberati di lavoro. Tuttavia, può sempre essere peggio, perché anche 2.16 ha un disturbo.
Torna all'inizio
La massiccia attenzione globale al problema ha portato a massicce indagini in tutto il mondo. Apache, sviluppatore della libreria, sembra non riuscire a riprendere fiato per due giorni senza che una società di sicurezza segnala un nuovo, urgente problema.
In breve, si scopre che è possibile eseguire decine di versioni di log4j – inclusa la 2.16 – con una riga (stringa) per avviare un ciclo eterno che va in crash l'applicazione. Le condizioni che un ambiente deve soddisfare per essere abusato sono vaste. Così esteso che la gravità pratica del problema è contestata. La patch è ufficialmente consigliata, ma non tutti ne sono convinti.
Ancora una volta, non tutte le istanze di Log4j sono vulnerabili, ma solo i casi in cui la libreria è in esecuzione su impostazioni personalizzate. Un potenziale aggressore ha anche bisogno di informazioni dettagliate su come funziona Log4j. Un contrasto con la vulnerabilità iniziale, facilmente accessibile.