Log4Shell : grave falla sicurezza in Log4j !
Con Log4Shell si identifica una grave falla nella sicurezza della libreria Java Apache Log4j usata in moltissimi server web oltre che in diversi programmi aziendali, si tratta di una problematica che permette di causare RCE (Remote Code Execution) e DOS (Denial Of Service) con una facilità disarmante, vediamo come correre subito ai ripari per evitare disastri.
La vulnerabilità Log4Shell è stata vista per la prima volta sui servers web Java di Minecraft / Microsoft ma ora si è praticamente diffusa a livello mondiale e diversi attacchi mirati sono in corso contro le più diverse piattaforme software.
Il problema è particolarmente grave perchè permette di prendere il controllo remoto del server su cui gira questa libreria e quindi eseguire codice ostile sul server attaccato.
Ricordiamo che la libreria Java Log4j serve per la gestione dei log ed è molto diffusa essendo free e mantenuta dalla fondazione Apache, viene quindi usata da moltissimi sviluppatori software per i loro progetti.
Ovviamente le macchine più a rischio sono quelle direttamente esposte su internet, esempio web servers, application servers, ecc… ma anche molti programmi aziendali possono essere attaccati dall’interno della Lan in quanto usano questa libreria, esempio Symantec Endpoint Protection Manager (SEPM), cioè il programma di management centralizzato dell’antivirus Symantec in azienda ne è affetto e va aggiornato all’ultima versione.
In un primo momento come azione di mitigazione era suggerito di impostare la variabile d’ambiente di sistema :
LOG4J_FORMAT_MSG_NO_LOOKUPS = TRUE
e quindi riavviare le macchine, ma purtroppo nel corso del tempo il problema si è dimostrato più grave del previsto e l’unica soluzione ora è fare immediatamente l’upgrade di questa libreria all’ultima versione disponibile (o fare l’aggiornamento del programma che la contiene ovviamente).
Un elenco completo dei programmi / applicazioni che sono affetti dal bug della libreria Log4j è aggiornato di continuo su questo link :
https://github.com/cisagov/log4j-affected-db
controllatelo per vedere se in azienda usate queste applicazioni ed aggiornatele subito o rischiate di avere in poco tempo grossi problemi, gli attacchi in rete si stanno moltiplicando !
Fate riferimento ai siti dei vari produttori software per capire quali aggiornamenti vanno applicati caso per caso.
Per maggiori info tecniche sulle vulnerabilità e sulla gravità del problema potete leggere qui :
https://csirt.gov.it/contenuti/log4shell-aggiornamento-e-ulteriori-mitigazioni-bl01-211216-csirt-ita
https://logging.apache.org/log4j/2.x/security.html
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
Per informazioni generiche sulla libreria Apache Log4j potete fare riferimento a questo articolo di Wikipedia :