/

Dicembre 17, 2021

Log4j e Log4Shell: la vulnerabilità del momento spiegata in modo semplice

Log4j Log4Shell

I tecnici e gli esperti, al lavoro ormai da diversi giorni per affrontare i problemi che ne sono derivati, considerano quella relativa a Log4j una delle vulnerabilità più importanti e rilevanti del 2021.

Log4j e Log4Shell, di cosa parliamo

Apache Log4j è una libreria di logging, un sistema creato per registrare le attività all’interno di un server o un’applicazione, monitorarne lo stato e comprendere eventuali problemi o malfunzionamenti.

È in particolare utilizzata in ambiente Java, linguaggio di programmazione molto utilizzato e diffuso: si stima che oltre 2 miliardi di oggetti utilizzino Java e, tra questi, moltissimi implementano un sistema di logging attraverso Apache log4j.

Dai numeri emerge chiaramente la portata della vulnerabilità e le conseguenze potenziali.

Log4Shell, la vulnerabilità

La vulnerabilità (con identificatore univoco CVE-2021-44228) ha riguardato le versioni Apache Log4j dalla 2.0-beta9. Ma in cosa consiste, in breve, la falla?

L’attività di logging è finalizzata, come abbiamo detto, a registrare tutte le attività riguardanti un certo server o una certa applicazione: ciò vuol dire che, inviando una stringa di codice malevolo, questo viene registrato da Log4j, permettendo all’attaccante di infettare l’applicazione e prenderne il controllo.

Si tratta dunque della rischiosissima tipologia “Arbitrary Code Execution”.

Per questa ragione, la vulnerabilità è stata immediatamente classificata come critica.

Log4Shell, le azioni di mitigazione

È importante identificare all’interno della propria struttura applicazioni, sistemi e apparati che utilizzano Log4j nelle versioni affette e, nel caso in cui fosse rilevata un’applicazione vulnerabile, il consiglio è ovviamente quello di isolare la risorsa e procedere ad analizzarla, in modo da rilevare eventuali compromissioni.

Per ridurre la superficie di attacco, può essere utile disinstallare gli applicativi che fanno uso della libreria e che non sono più utilizzati.

Gli aggiornamenti di sicurezza sono costantemente forniti dal produttore (qui le sue indicazioni).

CSIRT Italia ha messo a disposizione sul suo sito una pagina in cui sono riportati gli sviluppi, unitamente agli indicatori di compromissione e alle azioni di mitigazione consigliate: qui.