Il primo con il secondo. La patch per zero-day Apache Log4j, classificato CVE-2021-44228 era stata trovata e rilasciata. Ma, a quanto pare, era soltanto una soluzione tampone. Già, in arrivo una seconda vulnerabilità critica Zero-Day in Apache Log4j che consente l’esecuzione di codice in modalità remota.
La sta analizzando Akamai, un’azienda che fornisce una piattaforma per la distribuzione di un mirror di contenuti, (in genere audio, grafica o video) via internet del cliente sui propri server. E’ una vulnerabilità RCE (Remote Code Execution) critica e non autenticata (CVE-2021-44228), segnalata in Log4j, una libreria di registrazione open source.
Akamai ha collaborato direttamente con i clienti nelle ultime 24 ore per implementare regole WAF (Web Application Firewall) al fine di mitigare l’esposizione a questa vulnerabilità.
Un problema non di poco conto. Soprattutto per l’Italia
Log4j è integrato in molti dei framework più comuni, il che rende il rischio di attacco estremamente diffuso. Qualora tale vulnerabilità venga sfruttata attivamente e in modo malevolo, consente all’autore di un attacco di eseguire codice arbitrario su sistemi che includono applicazioni contenenti la libreria.
LEGGI ANCHE >>> Stop agli sprechi alimentari, arriva il primo servizio di food sharing dedicato
La vulnerabilità interessa più versioni di Log4j e le applicazioni che ne dipendono, tra cui vanno considerate anche Apache Struts2, Apache Solr, Apache Druid, Apache Flink e molti altre. Akamai consiglia agli amministratori e agli sviluppatori di verificare quali applicazioni utilizzano il pacchetto Log4j e, se la versione del pacchetto è compresa nell’intervallo vulnerabile (versioni Log4j 2.0 – 2.14.1): in caso affermativo eseguire immediatamente l’aggiornamento alla versione 2.16.0 o successiva. La versione più recente è già disponibile alla pagina di download Log4j.
LEGGI ANCHE >>> CES chi dice no: pioggia di cancellazioni delle big per paura della variante Omicron
Questa vulnerabilità non è affatto un problema di poco conto e c’è da aspettarsi che questa vulnerabilità abbia una lunga coda di attacco di exploit e delle sue varianti con conseguente innalzamento delle violazioni, probabilmente in forte aumento in un futuro prossimo. In questi casi non bisogna perdere tempo e implementare una patch urgentemente.
Il problema, ha spiegato Apache, era che la nuova versione 2.16 “non sempre proteggeva a dovere nella valutazione della ricerca“, il che la rendeva vulnerabile a un attacco di negazione del servizio. Il punteggio CVSS di 7,5 è molto alto e deve far riflettere. Questa debolezza della sicurezza è presente in tutte le versioni di Apache Log4j2 “dalla prima 2.0-alpha1 alla 2.16.0“.
Akamai ha ora distribuito un aggiornamento alla regola Apache esistente per includere la mitigazione di questa vulnerabilità Zero-Day CVE. Tale aggiornamento comprende l’aggiornamento della regola 3000014 per il set di regole Kona o il motore di sicurezza adattiva di Akamai, motori utilizzati nei prodotti Kona Site Defender, Web Application Protector e App & API Protector di Akamai.
Potrebbe non essere abbastanza, ma sarebbe già un passo in avanti visto che questa vulnerabilità ha attecchito in Italia, la quarta nazione più colpita, dopo USA, Regno Unito e Canada.