I fatti:
Dopo la vulnerabilità di Microsoft all’inizio di dicembre, ora è la falla di sicurezza Log4Shell a far parlare di sé. Si tratta dell’ Bundesamt für Sicherheit in der Informationstechnik (BSI) (l'equivalente dell'ANSSI in Germania) a rivelarne l'esistenza il 10 dicembre 2021.
Riguarda la libreria di log Log4j sviluppata dalla Fondazione Apache. Una libreria, detta anche libreria software, è un insieme di funzioni e classi già programmate in un linguaggio specifico per lo sviluppo di software. Se utilizzata in modo improprio, la libreria Log4j può consentire l'esecuzione di codice non autorizzato su un server.
Questa vulnerabilità desta preoccupazione poiché la libreria Log4j è ampiamente utilizzata in tutto il mondo, in particolare dalle grandi aziende. Sono interessate da questa vulnerabilità le versioni dalla 2.0 alla 2.14.1. Inoltre, si tratta di una vulnerabilità 0-day, ovvero al momento della sua scoperta non era disponibile alcuna patch.
Secondo Jennifer Easterly, direttrice della CISA, «Si tratta di una delle vulnerabilità più gravi, se non la più grave, con cui mi sono trovata a confrontarmi dall’inizio della mia carriera», con un livello di minaccia pari a 10. (Fonte: France24)
Guillaume Poupard, direttore generale dell’ANSSI: «Temo che approfondendo (…) ci si renda conto di conseguenze che potrebbero essere relativamente gravi», ha dichiarato, aggiungendo: «Il mio timore è che la vulnerabilità sia stata sfruttata da molto più tempo di quanto si pensi.» Questa vulnerabilità è effettivamente sfruttata attivamente
Sono state sviluppate delle correzioni
Apache ha rilasciato una patch con la versione 2.15.0 di Log4j che vi consigliamo di installare il prima possibile.
Per le organizzazioni interessate (aziende, amministrazioni…), aggiornare i propri strumenti può rivelarsi un’operazione complessa. Ciò richiede tempo, poiché occorre assicurarsi che tale «patch» non causi problemi di compatibilità. (Fonte: LeMonde) E altri forse non sanno ancora di essere vulnerabili…
Oltre alla patch di Apache, molti sviluppatori che utilizzano Log4j stanno gradualmente rilasciando altre patch. Tuttavia, in caso di difficoltà nella migrazione a questa versione, possono essere applicate temporaneamente possono essere applicate temporaneamente.
Prima di cliccare ti aiuta a diventare più consapevole della sicurezza informatica…
- Per prima cosa vi consigliamo di verificare se siete stati colpiti da questa vulnerabilità, effettuando un inventario delle vostre applicazioni.
- Aggiornare la libreria alla versione 2.16.00 (o applicare una soluzione alternativa temporanea)
- Controlla i tuoi log per assicurarti che non ci siano stati attacchi
- Adottate misure tecniche e organizzative all'interno della vostra organizzazione per sensibilizzare i vostri team in materia di sicurezza informatica.
