Un’importante vulnerabilità zero-day è stata scoperta durante lo scorso fine settimana, trovata in log4j 2, un popolare pacchetto di registrazione Java.
La vulnerabilità consente a un utente malintenzionato di indicare al sistema attaccabile di scaricare e successivamente eseguire un comando dannoso. La lista di quelli già noti per essere stati colpiti dalla vulnerabilità include Apple, Amazon, Cloudflare, Tesla, Twitter e persino Minecraft.
Come sottolineato in una nota ufficiale da Asad Ali, Senior Director, Global Center of Excellence di Dynatrace: «Il tempo è essenziale per mitigare la vulnerabilità Log4Shell nella libreria Apache log4j 2. Dato che questa vulnerabilità consente a un utente malintenzionato di eseguire qualsiasi comando su un processo Java vulnerabile, è fondamentale dare la priorità alla sua correzione nei processi Java accessibili direttamente da un browser, dispositivo mobile o chiamata API (Application Programming Interface)».
Per aiutare le aziende che vogliono capire se sono state colpite, Asad ha scritto un articolo per il blog di Dynatrace, dove consiglia alle organizzazioni il modo migliore per cercare questa vulnerabilità nelle proprie applicazioni, delineando tre criteri chiave per dare la priorità anche alla correzione nel loro ambiente:
- Esposizione pubblica su Internet: i processi Java che utilizzano queste librerie sono accessibili direttamente da Internet?
- Accesso ai dati sensibili: i processi Java vulnerabili accedono a database o file system critici nell’ambiente?
- Elenco delle applicazioni: quali applicazioni utilizzano queste librerie?