Gli esperti di sicurezza hanno scoperto una vulnerabilità critica nella libreria Apache Log4j che presenta un livello di gravità CVSS di 10 su 10. La vulnerabilità è CVE-2021-44228, chiamata anche Log4Shell o LogJam, e fa parte della classe Remote Code Execution (RCE).
Nel caso in cui gli aggressori riescono a sfruttarla su uno dei server, ottengono la capacità di eseguire codice arbitrario e potenzialmente prendono il pieno controllo del sistema.
Ciò che rende CVE-2021-44228 particolarmente pericoloso è la facilità di sfruttamento. Infatti, anche un hacker inesperto può eseguire con successo un attacco sfruttando questa vulnerabilità. Secondo i ricercatori, gli aggressori devono solo forzare l’applicazione a scrivere solo una stringa nel registro, dopodiché sono in grado di caricare il proprio codice nell’applicazione grazie alla funzione di sostituzione della ricerca dei messaggi.
In rete sono già disponibili le Working Proof of Concept (PoC) per gli attacchi tramite CVE-2021-44228, perciò non sorprende che le società di sicurezza informatica stiano già registrando massicce scansioni di rete per applicazioni vulnerabili e attacchi agli honeypot.
Questa vulnerabilità è stata scoperta da Chen Zhaojun di Alibaba Cloud Security Team.
Apache Foundation, visto che milioni di applicazioni Java utilizzano la libreria Apache Log4j per registrare i messaggi di errore, e rilevato che gli aggressori stanno già sfruttando attivamente questa vulnerabilità, ha consigliato, a tutti gli sviluppatori di aggiornare la libreria alla versione 2.15.0 e, laddove non sia possibile, utilizzare uno dei metodi descritti nella pagina Apache Log4j Security Vulnerabilities .
https://www.kaspersky.com/blog/log4shell-critical-vulnerability-in-apache-log4j/43124/