Bug informatico Log4Shell, anche la soluzione ha una falla

L’aggiornamento che doveva bloccare la vulnerabilità informatica Log4Shell, su cui la scorsa settimana ha lanciato un allarme anche l’agenzia italiana per la cybersicurezza, è vittima a sua volta di una falla che gli hacker stanno già sfruttando. Lo dicono in ricercatori di Praetorian che hanno rilasciato anche un video per dimostrarlo.

Il problema è duplice: il primo permette su alcune configurazione l’esecuzione di un attacco in stile DDoS, ovvero un tipo di minaccia in grado di bloccare un intero sito web o un sistema. il secondo è ancora più serio, perché facilita il prelievo dei dati contenuti su un server vulnerabile senza alcun permesso e senza lasciare traccia. Sarebbe questo il motivo secondo cui la Apache Software Foundation, che gestisce il codice della libreria informatica interessata dal bug Log4Shell, ha rilasciato a distanza di pochi giorni l’aggiornamento Java Log4J 2.16.0, che sembra essere esente dall’ulteriore problematica.

Gli specialisti di Praetorian e della compagnia di sicurezza Cloudflare, hanno spiegato che gli amministratori di sistemi e server devono aggiornare dal pacchetto precedente, 2.15.0, per essere sicuri di proteggersi dall’eventuale intrusione di terzi nelle loro reti. Log4j è uno strumento di monitoraggio che crea file di registro dei server, incluso su molti servizi di caratura globale, come Amazon e Twitter. Il 10 dicembre è emersa la possibilità di sfruttare un bug nel codice per indurre una macchina a eseguire comandi non autorizzati, anche per infettare l’intera rete locale a cui è collegata. La Apache Foundation aveva rilasciato subito dopo la notizia una versione correttiva, superata poi da quella più recente. (ANSA).
   

https://www.carlomauri.net