Nelle scorse ore, è stata scoperta una grave vulnerabilità 0-day in Log4j, uno strumento open source assai diffuso per il debug e il logging utilizzato in molte aziende e su diversi siti Web, la quale può permettere ai malintenzionati che se ne servono di eseguire codice maligno nelle finestre di logging legate all’utility.
Falla 0-day in Log4j: Microsoft tra i principali bersagli
Tra i principali bersagli ci sarebbe Minecraft, difatti la problematica è stata portata a galla proprio dagli utenti di alcuni siti Web legati al gioco, segnalando come i cracker possono eseguire del codice maligno sui server e i client del celebre sandbox che utilizzano la versione Java di esso, andando ad esempio a manipolare i messaggi scritti nelle chat.
Tenendo però conto del fatto che Log4j è incluso in moltissimi framework popolari Apache, come Struts2, Solr, Druid e Flink, il problema non è limitato solo a Minecraft, ma va ad estendersi a migliaia di altri applicativi. Al riguardo, H.D. Moore, fondatore e CTO di Rumble, azienda specializzata in sicurezza informatica afferma quanto segue.
La parte relativa a Minecraft sembra una tempesta perfetta, ma sospetto che continueremo a scoprire applicazioni affette dal problema e device a rischio ancora per molto tempo.
La situazione diventa ancora più “drammatica” se si considera che Log4j viene usato da applicativi basati su versioni di Java antiquate che potrebbero non essere più aggiornati da anni o che andrebbero riscritti da capo per arginare la falla. Inoltre, è pur vero che il problema riguarda i server, ma questi potrebbero risultare talmente compromessi da diventare a loro volta vettori di attacco per i sistemi degli utenti finali.
A detta degli esperti di sicurezza non c’è una versione stabile di Log4j che va a risolvere la vulnerabilità, ma esiste una release candidate, quella siglata come 2.15.0-rc2 e disponibile su GitHub, che considerando la gravità della situazione potrebbe comunque rivelarsi utile.