Apache Software Foundation ha rilasciato la patch per la vulnerabilità zero-day scoperta tre giorni in Log4j, una libreria Java che viene utilizzata da migliaia di aziende, tra cui Apple, Amazon, Twitter, Cloudflare e Tesla. L’exploit che sfrutta il bug Log4Shell, identificato con CVE-2021-44228, è già in circolazione, quindi è necessario installare la nuova versione 2.15.0 nel minor tempo possibile.
Log4Shell: grande pericolo per Internet
Il bug Log4Shell è presente in tutte le versioni da 2.0-beta9 a 2.14.1. Log4j è una libreria Java utilizzata per analizzare i log di accesso ai web server e alle applicazioni. Dopo aver individuato i server vulnerabili, i malintenzionati possono prendere il controllo dei messaggi di log ed eseguire codice arbitrario. Un proof-of-concept è stato pubblicato su GitHub.
Il problema di sicurezza è piuttosto serio, in quanto gli eventuali attacchi non richiedono particolari competenze tecniche. L’impatto su Internet è enorme. La libreria è infatti presente in quasi tutti i prodotti enterprise della Apache Software Foundation, tra cui Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka e Apache Dubbo. Pertanto sono vulnerabili i server di numerose big tech, tra cui Apple, Amazon, Twitter, Cloudflare e Steam, oltre al famoso gioco Minecraft.
Per ridurre i rischi al minimo è necessario impostare a true
la proprietà log4j2.formatMsgNoLookups
o la variabile di ambiente LOG4J_FORMAT_MSG_NO_LOOKUPS
per le versioni di Log4j uguale o superiore alla 2.10. Per le versioni precedenti deve essere eliminata la classe JndiLookup
dal classpath con il comando zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
. Ma la soluzione migliore è scaricare e installare Logj4 2.15.0.