Bug Log4Shell, la patch risolutiva aveva anch’essa una vulnerabilità

Una situazione paradossale e al limite del grottesco, eppure maledettamente reale. La patch che avrebbe dovuto chiudere il gravissimo bug Log4Shell era afflitta da un’altrettanto grave vulnerabilità

Il fix alla vulnerabilità informatica conosciuta come Log4Shell finisce esso stesso oggetto delle mire espansionistiche degli hacker. Lo spiegano i ricercatori di Praetorian, secondo i quali l’aggiornamento che avrebbe dovuto mettere una pezza alla pesante vulnerabilità del programma di logging per Java Log4j contiene una falla di sicurezza e i cybercriminali starebbero già sfruttandola nei propri attacchi. Uno scherzo? Nient’affatto, anche perché a dimostrarlo è un video condiviso dagli stessi ricercatori, a riprova di una situazione alquanto ingarbugliata e tutt’altro vicina alla sua definizione.

Piove insomma sul bagnato dopo la scoperta di Log4Shell, una delle più gravi vulnerabilità attualmente esistenti nel panorama del web. La falla di sicurezza è stata scoperta una settimana addietro e ha di fatto aperto la strada al fenomeno di ransomware, rendendo la rete particolarmente sensibile ad attacchi hacker a danno dei server delle grandi aziende.

POTREBBE INTERESSARTI ANCHE >>> Pixel 6, problemi con Now Playing e Adele: l’incredibile testimonianza

Arriva in fretta e furia la versione 2.16.0 di Log4j rilasciata da Apache

Come riportato da Praetorian, il fix che avrebbe dovuto correggere le vulnerabiltà sarebbe infatti gravato da due problemi di fondo. Da un lato, innescherebbe un attacco Denial of Service (DoS) su alcune configurazioni, con la conseguenza di bloccare un intero sistema fino al reboot; dall’altro lato (e cosa ancor più grave), faciliterebbe il furto di dati sensibili ospitati dentro a un server, facendo leva su una stringa appositamente predisposta dai malintenzionati. Il tutto senza lasciar tracce o subire manovre ostruzionistiche.

Insomma, le falle di sicurezza della libreria Apache Log4j continuano a riecheggiare sul web, ma per fortuna la Apache Foundation ha provveduto a rilasciare tempestivamente una versione correttiva, la 2.16.0, per chiudere tutt’e due le magagne di sicurezza.

POTREBBE INTERESSARTI ANCHE >>> Il 2022 e il fenomeno dei cyberattacchi, tra ransomware, vulnerabilità zero-day e furto dati ai VIP

Stando a quanto riportato da alcuni ricercatori, pare peraltro che la precedente versione 2.15.0 di Log4j fosse incompleta in alcune configurazioni non di default. A questo punto, vale quindi il consiglio indirizzato ai gestori di server Apache di aggiornare il prima possibile all’ultima versione di Log4j.