E' stata recentemente individuata una nuova vulnerabilità 0day di livello critico (la CVE-2021-44228) in Apache Log4J, la popolarissima libreria Java open source di logging usata in una vasta gamma di applicazioni a livello mondiale.

Questa vulnerabilità, il cui livello di criticità è massimo, è stata ribattezzata Log4Shell e, se sfruttata, può consentire ad un attaccante remoto di prendere il controllo del sistema vulnerabile e di eseguire codice arbitrario senza necessità di autenticazione. 

Secondo alcuni ricercatori di sicurezza, questa falla è tra le più gravi di quelle individuate nell'ultimo decennio a causa della facilità di utilizzo e del gran numero di applicazioni aziendali e servizi cloud interessati. E' la vulnerabilità di sicurezza di più alto proilo su Internet in questo momento, segnalata con un punteggio di criticità di 10/10, il livello massimo previsto. 

Apache ha risolto questa vulnerabilità rilasciando una patch e un avviso di sicurezza contenente i dettagli per la mitigazione. 

Log4J è una utlity open source di logging scritta in Java nei servizi Apache Logging. Log4Shell è una vulnerabilità che consente l'esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j. La vulnerabilità costringe applicazioni e server basati su Java che utilizzano la libreria Log4j a registrare una specifica riga i codice nei propri sistemi: quando un'applicazione o un server elaborano i registri, questa stringa può far scaricare ed eseguire uno script dannoso sul sistema vulnerabile dal dominio controllato dall'attaccante. Per l'attaccante è sufficiente un endpoint con qualsiasi protocollo (HTTP, TCP...) che gli consenta di inviare la stringa di exploit.

Versioni Log4J vulnerabili: tutte le versioni dalla 2.0-beta9 alla 2.16.00.

Un attaccante remoto non autenticato può sfruttare questa vulnerabilità con una semplice richiesta web verso il sistema vulnerabile. In caso di successo dell'exploit, può consentire l'esecuzione di codice arbitrario fino al controllo totale del sistema.

Apache Log4J è molto usata in servizi software e cloud aziendali, quindi il fatto che siano pubblicamente disponibili molti codici di exploit, la facilità di sfruttamento e le tecniche di evasione rendono questa falla molto pericolosa. 

Abbiamo pubblicato le regole IPS per identificare e bloccare attacchi da remoto che tentassero di sfruttare installazioni Log4J vulnerabili. Continueremo a monitorare lo sviluppo di questa minaccia e migliorare le nostre funzionalità di individuazione qualora fosse necessario. Consigliamo a tutti i nostri clienti di patchare appropriatamente i propri sistemi e tenere aggiornati i software antivirus all'ultimo Database dei Virus.