CVE-2021-44228: nuova vulnerabilità 0day di Apache Log4j sfruttata in tutto il mondo. La copertura di Quick Heal

E’ stata recentemente individuata una nuova vulnerabilità 0day di livello critico (la CVE-2021-44228) in Apache Log4J, la popolarissima libreria Java open source di logging usata in una vasta gamma di applicazioni a livello mondiale.
Questa vulnerabilità, il cui livello di criticità è massimo, è stata ribattezzata Log4Shell e, se sfruttata, può consentire ad un attaccante remoto di prendere il controllo del sistema vulnerabile e di eseguire codice arbitrario senza necessità di autenticazione. 

Secondo alcuni ricercatori di sicurezza, questa falla è tra le più gravi di quelle individuate nell’ultimo decennio a causa della facilità di utilizzo e del gran numero di applicazioni aziendali e servizi cloud interessati. E’ la vulnerabilità di sicurezza di più alto proilo su Internet in questo momento, segnalata con un punteggio di criticità di 10/10, il livello massimo previsto. 
Apache ha risolto questa vulnerabilità rilasciando una patch e un avviso di sicurezza contenente i dettagli per la mitigazione.

Log4J è una utlity open source di logging scritta in Java nei servizi Apache Logging. Log4Shell è una vulnerabilità che consente l’esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j. La vulnerabilità costringe applicazioni e server basati su Java che utilizzano la libreria Log4j a registrare una specifica riga i codice nei propri sistemi: quando un’applicazione o un server elaborano i registri, questa stringa può far scaricare ed eseguire uno script dannoso sul sistema vulnerabile dal dominio controllato dall’attaccante. Per l’attaccante è sufficiente un endpoint con qualsiasi protocollo (HTTP, TCP…) che gli consenta di inviare la stringa di exploit.

Versioni Log4J vulnerabili: tutte le versioni dalla 2.0-beta9 alla 2.16.00.

• Aggiornare immediatamente Apache Log4j alla versione 2.17.00;
• la CVE-2021-44228 può essere sfruttata solo se il parametro log4j2.formatMsgNoLookups è impostato su false. Impostare questo parametro su “true”;
• aggiornare le soluzioni di sicurezza di rete e degli endpoint alla versione più recente disponibile.

Abbiamo pubblicato le regole IPS per identificare e bloccare attacchi da remoto che tentassero di sfruttare installazioni Log4J vulnerabili. Continueremo a monitorare lo sviluppo di questa minaccia e migliorare le nostre funzionalità di individuazione qualora fosse necessario. Consigliamo a tutti i nostri clienti di patchare appropriatamente i propri sistemi e tenere aggiornati i software antivirus all’ultimo Database dei Virus. 

Vuoi prevenire attacchi 0day?