Cos’è e a cosa serve la libreria log4j in breve? Log4J è una libreria di logging utilizzata in ambiente Java, un linguaggio di programmazione molto utilizzato grazie alla sua capacità di essere agnostico rispetto al sistema operativo su cui esso è installato, Java è soventemente utilizzato sia per la realizzazione di sistemi Enterprise sia in meno complessi, ma estremamente diffusi, sistemi mobile. Più di due miliardi di oggetti utilizzano oggi Java e molti di essi implementano un sistema di logging attraverso Apache log4j.
A questo git repository, si stanno raccogliendo informazioni sui reali prodotti/software coinvolti https://github.com/cisagov/log4j-affected-db ovviamente gli addetti ai lavori sono invitati ad applicare gli update e le soluzioni per mitigare il problema ove non sia possibile aggironare le versioni coinvolte.
Sono disponibili la patch ufficiale e le azioni di mitigazione per Log4Shell, la vulnerabilità zero-day nella libreria java log4j che potrebbe esporre oltre 3 miliardi di dispositivi in tutto il mondo. Ecco come mitigare il rischio di un attacco e perché è importante farlo subito.
Una delle vulnerabilità più importanti del 2021: così mi sentirei di definire la CVE-2021-44228 anche comunemente denominata Log4Shell, la nota vulnerabilità rilasciata pubblicamente il 10 dicembre del 2021 che affligge la libreria log4j realizzata da Apache, dalla versione 2.0 alla 2.14.1.
La libreria Java, utilizzata per gestire le operazioni di logging in moltissime applicazioni aziendali, siti web e servizi online, è stata prontamente aggiornata alla versione 2.15.0 ed è quindi importantissimo applicare la patch il prima possibile, come vedremo più avanti, per mitigare il rischio.
Anche perché, come segnalato dal CSIRT Italia, è già disponibile un PoC (Proof of Concept) e sono state rilevate scansioni in cerca di server vulnerabili che lasciano prevedere uno sfruttamento massivo del difetto di sicurezza in rete che, se sfruttato, potrebbe consentire ad un attaccante remoto di ottenere un accesso persistente alla macchina target
Buon lavoro!
