I tecnici e gli esperti, al lavoro ormai da diversi giorni per affrontare i problemi che ne sono derivati, considerano quella relativa a Log4j una delle vulnerabilità più importanti e rilevanti del 2021.
Log4j e Log4Shell, di cosa parliamo
Apache Log4j è una libreria di logging, un sistema creato per registrare le attività all’interno di un server o un’applicazione, monitorarne lo stato e comprendere eventuali problemi o malfunzionamenti.
È in particolare utilizzata in ambiente Java, linguaggio di programmazione molto utilizzato e diffuso: si stima che oltre 2 miliardi di oggetti utilizzino Java e, tra questi, moltissimi implementano un sistema di logging attraverso Apache log4j.
Dai numeri emerge chiaramente la portata della vulnerabilità e le conseguenze potenziali.
Log4Shell, la vulnerabilità
La vulnerabilità (con identificatore univoco CVE-2021-44228) ha riguardato le versioni Apache Log4j dalla 2.0-beta9. Ma in cosa consiste, in breve, la falla?
L’attività di logging è finalizzata, come abbiamo detto, a registrare tutte le attività riguardanti un certo server o una certa applicazione: ciò vuol dire che, inviando una stringa di codice malevolo, questo viene registrato da Log4j, permettendo all’attaccante di infettare l’applicazione e prenderne il controllo.
Si tratta dunque della rischiosissima tipologia “Arbitrary Code Execution”.
Per questa ragione, la vulnerabilità è stata immediatamente classificata come critica.
Log4Shell, le azioni di mitigazione
È importante identificare all’interno della propria struttura applicazioni, sistemi e apparati che utilizzano Log4j nelle versioni affette e, nel caso in cui fosse rilevata un’applicazione vulnerabile, il consiglio è ovviamente quello di isolare la risorsa e procedere ad analizzarla, in modo da rilevare eventuali compromissioni.
Per ridurre la superficie di attacco, può essere utile disinstallare gli applicativi che fanno uso della libreria e che non sono più utilizzati.
Gli aggiornamenti di sicurezza sono costantemente forniti dal produttore (qui le sue indicazioni).
CSIRT Italia ha messo a disposizione sul suo sito una pagina in cui sono riportati gli sviluppi, unitamente agli indicatori di compromissione e alle azioni di mitigazione consigliate: qui.