Log4Shell, la vulnerabilità recentemente rilevata a carico della libreria Open Source Log4j per la gestione dei log delle applicazioni Java, continua a far parlare di sé a causa di alcuni attacchi che la starebbero sfruttando per condurre azioni malevole. Attualmente la maggior parte degli attacchi proverrebbero da Cina, Corea del Nord, Iran e Turchia.
Stando a quanto dichiarato nelle scorse ore dal MSTIC (Microsoft Threat Intelligence Center) l’exploit di Log4Shell sarebbe stato già modificato in modo da poter essere utilizzato per la diffusione di ransomware. In altri casi la problematica verrebbe sfruttata per colpire i sistemi di virtualizzazione e prendere il controllo di infrastrutture tecniche da remoto.
Le maggiori preoccupazioni riguardano il fatto che Log4Shell viene utilizzato in diverse piattaforme molto diffuse tra cui tutte quelle della Apache Software Foundation dedicate ai contesti enterprise. Quest’ultima ha già distribuito una patch correttiva ma secondo alcuni analisti di sicurezza potrebbe non essere sufficiente per una soluzione definitiva.
A livello tecnico Log4Shell permette di condurre attacchi basati sulla RCE (Remote Code Execution). Grazie alla sola modifica di un user-agent all’interno di un’intestazione in una richiesta HTTPS sarebbe possibile eseguire del codice arbitrario sul sistema target senza però il bisogno di superare alcuna procedura di autenticazione.
E’ probabile che nel corso dei prossimi giorni gli sviluppatori di Apache renderanno disponibili nuovi aggiornamenti per limitare i danni derivanti da Log4Shell, per il momento l’unica soluzione disponibile per evitare attacchi sembrerebbe essere quella di impostare il parametro log4j2.formatMsgNoLookups su TRUE, come avviene di default dalla versione 2.15.0 del progetto in poi.
