• IL NOSTRO NETWORK:
  • The Innovation Group
  • Technopolis
  • ictBusiness.it
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • News

Mezzo Web a rischio per Log4Shell, serve la patch

Le applicazioni di Amazon, Tencent, Apple iCloud, Minecraft, Twitter sono alcuni dei potenziali bersagli di attacchi di remote code execution che, potenzialmente, fanno leva su una vulnerabilità di Java.

Pubblicato il 13 dicembre 2021 da Redazione

Si chiama Log4Shell ed è una tra le più pericolose vulnerabilità zero-day mai scoperte, fonte di potenziali attacchi. Pericolosa perché consente, in teoria, di prendere pieno controllo del sistema bersaglio ma anche perché è diffusissima: dai servizi di Amazon a Apple iCloud, da Minecraft alla piattaforma di videogioco Steam, e ancora Twitter, Baidu, Coudfare, NetEase, Tencent. L’allerta di sicurezza fatta circolare da ricercatori di Alibaba e di LunaSec è massiccia: esiste una grave vulnerabilità zero day all’interno delle applicazioni e dei server che impiegano Apache Log4j.

Libreria Java diffusa in modo ubiquo, utilizzata per lo sviluppo di applicazioni Web, Apache Log4j contiene una falla nelle versioni comprese tra la 2.0-beta9 e la 2.14.1. Corrispondente alla sigla CVE-2021-44228 e ribattezzata come Log4Shell o LogJam, la vulnerabilità ha una gravità massima, con punteggio dieci su dieci, e potenzialmente consente a un attaccante di eseguire codice arbitrario da remoto, fino anche a prendere il controllo dell’intero sistema bersaglio. 

Il punteggio di massima gravità è dovuto al fatto che, a detta degli autori della scoperta, basterebbe forzare l’applicazione a scrivere una singola stringa di codice nel logo per caricare, poi, qualsiasi codice arbitrario all’interno dell’applicazione stessa (una spiegazione più tecnica è stata pubblicata da LunaSec). Naturalmente, l’allerta è elevata anche perché Apache Log4j ha una diffusione ubiqua. Addirittura la National Security Agency ha ammesso che un proprio strumento di reverse engineering, Ghidra, impiegava una versione vulnerabile.

La Apache Software Foundation ha rilasciato in questi giorni una patch di sicurezza e dunque è importante, se si hanno in azienda applicazioni Web su Apache Log4j, aggiornare la libreria all’ultima versione disponibile, cioè alla 2.15.0. “Il tempo è essenziale per mitigare la vulnerabilità Log4Shell nella libreria Apache Log4j 2”, ha commentato Asad Ali, senior director del Global Center of Excellence di Dynatrace. “Dato che questa vulnerabilità consente a un utente malintenzionato di eseguire qualsiasi comando su un processo Java vulnerabile, è fondamentale dare la priorità alla sua correzione nei processi Java accessibili direttamente da un browser, dispositivo mobile o chiamata Api (Application Programming Interface)”.

 

 
Tag: java, vulnerabilità, zero-day, bug, cybersicurezza, Log4Shell

JAVA

  • Oracle aggiorna Java per migliori performance, stabilità e sicurezza
  • Pericolo Log4j, attacchi ransomware su Vmware Horizon
  • Vulnerabilità Log4shell, qual è la giusta strategia di difesa?
  • Anni di guai per Log4Shell, forse il bug più grave di sempre
  • Mezzo Web a rischio per Log4Shell, serve la patch

NEWS

  • Un dispositivo indossabile rileva i casi di covid asintomatico
  • Battuta d’arresto per Alibaba, la prima dopo una lunga crescita
  • Tra cyberwar e cybercrimine, il 2022 riserva ancora delle sorprese
  • Ivanti e SentinelOne unite nella lotta alle vulnerabilità nascoste
  • Tim, avanti con il taglio dei costi e nello sviluppo della rete
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
MSSP italiani: chi sono, dove sono e quali servizi di sicurezza erogano
Sap, Massimo Peruso alla guida dei Cloud Success Services
Konica Minolta e Mobotix rinnovano l’alleanza per la video analisi
Osservabilità dei dati e automazione, Ibm acquisisce Databand.ai
Google, l’antitrust italiano indaga su abuso di posizione dominante
Matt Hicks va alla guida di Red Hat, Cormier diventa chairman
Google si adatta allo scenario globale, le assunzioni rallentano
Il cloud aiuta i partner a crescere, parola di Microsoft
Con Xcelerator, Siemens porta le industrie nel metaverso
Le assunzioni rallentano anche in Apple, ma i Glass non si discutono
Switch EX4100 Juniper, l’intelligenza artificiale fa la differenza
La sicurezza gestita made in Italy di Sababa si estende all’OT
ThinkCentre neo 50a, l’all-in-one “intelligente” di Lenovo
Sicurezza e migrazione su Microsoft, Quest Software sceglie Arrow
Data center sostenibili, come ottenerli e perché non è semplice
Ivanti amplia l’accordo di distribuzione con Arrow Electronics
Withsecure si focalizza su threat intelligence e machine learning
Servizi finanziari, lo sviluppo software preoccupa il 75% dei Ciso
Epson riorganizza il canale e lo indirizza verso soluzioni e servizi
Vendite di Pc ancora in calo, ma permangono aree di crescita
Un dispositivo indossabile rileva i casi di covid asintomatico
Battuta d’arresto per Alibaba, la prima dopo una lunga crescita
Tra cyberwar e cybercrimine, il 2022 riserva ancora delle sorprese
Ivanti e SentinelOne unite nella lotta alle vulnerabilità nascoste
Tim, avanti con il taglio dei costi e nello sviluppo della rete
La Robotic Process Automation cresce e va verso l’iperautomazione
Sanjay Poonen passa da Vmware a Cohesity per diventare Ceo
Google e Unioncamere hanno formato 43mila persone in due anni
Elon Musk al contrattacco, fa causa a Twitter a sua volta
Engineering, Guido Porro è executive vice president enterprise
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Strategie di canale
The Innovation Group
Technopolis
indigo logo tig logo
© 2022 The Innovation Group, via Palermo 5, 20121 Milano | P.IVA 06750900968