I consigli di Kaspersky per affrontare la vulnerabilità Log4Shell

La scorsa settimana è stata scoperta da diversi ricercatori di sicurezza informatica una vulnerabilità critica (ribattezzata "Log4Shell", "CVE-2021-44228" o "LogJam") nella libreria Apache Log4j che milioni di applicazioni Java utilizzano per registrare i log di errore. La vulnerabilità, purtroppo, riguarda centinaia di milioni di dispositivi: se sfruttata a dovere permette a chi attacca di eseguire un codice arbitrario e, potenzialmente, di prendere il pieno controllo di un sistema. 

Una vulnerabilità sfruttabile anche da hacker inesperti

CVE-2021-44228 è una vulnerabilità della classe Remote Code Execution (RCE) a cui è stato assegnato il punteggio massimo perché permette l'esecuzione di codice da remoto senza autenticazione. Oltre a riguardare un numero impressionante di servizi/software, questa vulnerabilità è già stata sfruttata dagli hacker (i primi attacchi risalgono allo scorso  il 2 dicembre).

Tutti i prodotti che utilizzano questa libreria (dalla versione 2.0-beta9 alla 2.14.1) sono esposti a questo nuovo CVE. Ciò che rende CVE-2021-44228 così pericoloso è la facilità di sfruttamento: anche un hacker alle prime armi può eseguire con successo un attacco sfruttando questa vulnerabilità. Gli aggressori, infatti, non devono fare altro che forzare l'applicazione a scrivere solo una stringa nel registro e caricare successivamente il proprio codice nell'applicazione grazie alla funzione di sostituzione della ricerca dei messaggi. In questo modo possono gli hacker possono trasferire informazioni a un server controllato da loro, portando all'esecuzione di codice arbitrario o a una fuga di informazioni riservate o ad altri attacchi ad ampio raggio.

Evgeny Lopatin, esperto di sicurezza di Kaspersky, ha così commentato: "Ciò che rende questa vulnerabilità particolarmente pericolosa non è solo il fatto che gli attaccanti possono ottenere il controllo completo del sistema, ma quanto sia facile da sfruttare. Anche un hacker inesperto può trarne vantaggio. Stiamo già osservando, infatti, che i cyber criminali cercano attivamente software da sfruttare con questo CVE. Tuttavia, la buona notizia è che una soluzione di sicurezza affidabile è in grado di proteggere gli utenti".

Per proteggersi da questa nuova minaccia, gli esperti di Kaspersky consigliano di scaricare la versione più recente della libreria. Nel caso non fosse possibile aggiornare la versione, sul sito di Apache Log4j 2 sono disponibili una serie di metodi di mitigazione per bloccare manualmente questa vulnerabilità. Per esempio, gli utenti di Java 8 (o versioni successive) devono eseguire l'aggiornamento alla versione 2.16.0; quelli con Java 7 hanno bisogno della patch versione 2.12.2  (sarà disponibile a breve); negli altri casi è necessario rimuovere la classe JndiLookup dal classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.