Il software Log4j è stato sviluppato dal team di Apache, lo stesso dei web server che utilizziamo sui nostri siti, ed è utilizzato per tenere traccia dei log di un server o di un qualsiasi servizio online, ed è da giorni oggetto di discussione per via del fatto che molte versioni circolanti e attive anche su siti molto grossi sono affette da una falla 0-day. Che lo ricordiamo è un tipo di minaccia informatica molto subdola, trattandosi di un bug di sicurezza mai documentato prima di oggi.
Il problema in termini tecnici è il seguente: Apache Log4j fino alla versione 2.14.1 non prevede il filtraggio degli input al sistema mediante LDAP e analoghi endpoint (incluso JNDI). Nella pratica, un attaccante informatico potrebbe, se ha modo di poter scrivere nel log, eseguire codice arbitrario mediante server LDAP qualora la feature di message lookup substitution sia abilitata. Dalla versione di Log4j 2.15.0, questa feature è disabilitata di default.La falla è stata classificata come Log4Shell e non richiede particolari competenze in ambito informatico, consentendo l’esecuzione arbitraria di codice (incluso malware) su tutti i siti che usano questo sistema. Che sono tanti, e vanno dal sito di Twitter a quello di Minecraft. Tutti coloro che usano server Java dovrebbero, di fatto, interrogarsi sulla questione e aggiornare almeno alla versione 2.15.0.Â
Per calmierare temporaneamente il problema si suggerisce, come soluzione temporanea, di impostare la variabile di sistema log4j2.formatMsgNoLookups a TRUE, oppure di impostare il parametro LOG4J_FORMAT_MSG_NO_LOOKUPS sempre a TRUE. Il bug in questione è considerato “critico” a livello di gravità , ed è ampiamente documentato nel sito ufficiale del software di Apache.
Apache Log4j 2 consiste in un upgrade del vecchio Log4j 1.x, e forniva già di suo varie correzioni a bug noti scoperti fin dal 2015. Il problema, in questo caso, è la falla cosiddetta 0-day che è emersa grazie al lavoro di Chen Zhaojun di Alibaba Cloud Security Team, un ricercatore informatico che l’ha scoperta ed ha pubblicato il problema solo dopo che gli sviluppatori avevano ultimato il fix del codice.
PRT96919
Per essere sicuri di utilizzare la versione di Log4j corretta, cosa che fanno vari siti famosi tra cui Twitter e Twitch, è indispensabile aggiornare alla versione Log4j 2.15.0 e successive. Il bug di sicurezza in questione è stato classificato ufficialmente come CVE-2021-44228.
Tutte le versioni di log4j a partire dalla 2.0-beta9 fino alla 2.14.1 devono, pertanto, essere aggiornate quanto prima. Photo by Joan Gamell on Unsplash
PRT96919
