Una pericolosa vulnerabilità di sicurezza identificata nella libreria di registrazione Java Log4j ha esposto enormi porzioni di Internet ad attori malintenzionati.
Giorno zero Gli exploit sono quanto di più grave si possa immaginare, soprattutto quando vengono identificati in software onnipresenti come la libreria di registrazione Log4j di Apache. È stato condiviso online un exploit proof-of-concept che espone chiunque a potenziali attacchi RCE (Remote Code Execution) e ha colpito alcuni dei più grandi servizi sul web. L'exploit è stato identificato come "utilizzato attivamente" ed è uno degli exploit più pericolosi resi pubblici negli ultimi anni.
Log4j è un popolare pacchetto di registrazione basato su Java sviluppato da Apache Software Foundation e CVE-2021-44228 interessa tutte le versioni di Log4j tra la versione 2.0-beta-9 e la versione 2.14.1. È stato patchato nella versione più recente della libreria, versione 2.15.0, rilasciato pochi giorni fa. Molti servizi e applicazioni si affidano a Log4j, inclusi giochi come Minecraft, dove la vulnerabilità è stata scoperta per la prima volta. Anche i servizi cloud come Steam e Apple iCloud sono risultati vulnerabili, ed è probabile che lo sia anche chiunque utilizzi Apache Struts. È stato dimostrato che anche la modifica del nome di un iPhone attiva la vulnerabilità sui server Apple.
Questa vulnerabilità era scoperto di Chen Zhaojun del team Alibaba Cloud Security. Qualsiasi servizio che registra stringhe controllate dall'utente era vulnerabile all'exploit. La registrazione delle stringhe controllate dall'utente è una pratica comune da parte degli amministratori di sistema per individuare potenziali abusi della piattaforma le stringhe dovrebbero quindi essere "igienizzate" - il processo di pulizia dell'input dell'utente per garantire che non ci sia nulla di dannoso per il software in uso presentato.
Log4Shell rivaleggia con Heartbleed nella sua gravità
L'exploit è stato soprannominato "Log4Shell", poiché si tratta di una vulnerabilità RCE non autenticata che consente il controllo totale del sistema. C'è già un exploit proof-of-concept onlineed è incredibilmente facile dimostrare che funziona attraverso l'uso del software di registrazione DNS. Se ricordi il Sangue vulnerabilità di diversi anni fa, Log4Shell dà sicuramente del filo da torcere quando si tratta di gravità.
"Analogamente ad altre vulnerabilità di alto profilo come Heartbleed e Shellshock, crediamo in questo nelle settimane a venire verrà scoperto un numero crescente di prodotti vulnerabili", ha affermato l'attacco Randori Squadra hanno detto nel loro blog Oggi. "A causa della facilità di sfruttamento e dell'ampiezza dell'applicabilità, sospettiamo che gli autori del ransomware inizieranno a sfruttare immediatamente questa vulnerabilità", hanno aggiunto. Gli autori malintenzionati stanno già effettuando una scansione di massa del Web per cercare di trovare server da sfruttare (tramite Computer che suona).
"Molti, molti servizi sono vulnerabili a questo exploit. I servizi cloud come Steam, Apple iCloud e app come Minecraft sono già risultati vulnerabili," LunaSec ha scritto. "Chiunque utilizzi Apache Struts è probabilmente vulnerabile. Abbiamo già visto vulnerabilità simili sfruttate in precedenza in violazioni come la violazione dei dati Equifax del 2017." LunaSec ha inoltre affermato che le versioni Java superiori a 6u211, 7u201, 8u191 e 11.0.1 sono in teoria meno colpiti, anche se gli hacker potrebbero comunque essere in grado di aggirare il problema limitazioni.
La vulnerabilità può essere innescata da qualcosa di banale come il nome di un iPhone, a dimostrazione del fatto che Log4j è davvero ovunque. Se una classe Java viene aggiunta alla fine dell'URL, tale classe verrà inserita nel processo del server. Gli amministratori di sistema con versioni recenti di Log4j possono eseguire la propria JVM con il seguente argomento per impedire anche lo sfruttamento della vulnerabilità, a condizione che sono almeno su Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueIl CERT NZ (la squadra nazionale di risposta alle emergenze informatiche della Nuova Zelanda) ha emesso un avviso di sicurezza relativo a sfruttamento attivo in natura, e ciò è stato confermato anche da Direttore della Coalizione Ingegneria - Sicurezza Tiago Henriques E esperto di sicurezza Kevin Beaumont. La vulnerabilità è stata inoltre considerata così pericolosa da Cloudflare che a tutti i clienti viene garantita "una certa" protezione per impostazione predefinita.
Questo è un exploit incredibilmente pericoloso e che può provocare il caos online. Terremo d'occhio ciò che accadrà dopo.