Il primo con il secondo. La patch per zero-day Apache Log4j, classificato CVE-2021-44228 era stata trovata e rilasciata. Ma, a quanto pare, era soltanto una soluzione tampone. Già, in arrivo una seconda vulnerabilità critica Zero-Day in Apache Log4j che consente l’esecuzione di codice in modalità remota.
La sta analizzando Akamai, un’azienda che fornisce una piattaforma per la distribuzione di un mirror di contenuti, (in genere audio, grafica o video) via internet del cliente sui propri server. E’ una vulnerabilità RCE (Remote Code Execution) critica e non autenticata (CVE-2021-44228), segnalata in Log4j, una libreria di registrazione open source.
Akamai ha collaborato direttamente con i clienti nelle ultime 24 ore per implementare regole WAF (Web Application Firewall) al fine di mitigare l’esposizione a questa vulnerabilità.
Log4j è integrato in molti dei framework più comuni, il che rende il rischio di attacco estremamente diffuso. Qualora tale vulnerabilità venga sfruttata attivamente e in modo malevolo, consente all’autore di un attacco di eseguire codice arbitrario su sistemi che includono applicazioni contenenti la libreria.
LEGGI ANCHE >>> Stop agli sprechi alimentari, arriva il primo servizio di food sharing dedicato
La vulnerabilità interessa più versioni di Log4j e le applicazioni che ne dipendono, tra cui vanno considerate anche Apache Struts2, Apache Solr, Apache Druid, Apache Flink e molti altre. Akamai consiglia agli amministratori e agli sviluppatori di verificare quali applicazioni utilizzano il pacchetto Log4j e, se la versione del pacchetto è compresa nell’intervallo vulnerabile (versioni Log4j 2.0 – 2.14.1): in caso affermativo eseguire immediatamente l’aggiornamento alla versione 2.16.0 o successiva. La versione più recente è già disponibile alla pagina di download Log4j.
LEGGI ANCHE >>> CES chi dice no: pioggia di cancellazioni delle big per paura della variante Omicron
Questa vulnerabilità non è affatto un problema di poco conto e c’è da aspettarsi che questa vulnerabilità abbia una lunga coda di attacco di exploit e delle sue varianti con conseguente innalzamento delle violazioni, probabilmente in forte aumento in un futuro prossimo. In questi casi non bisogna perdere tempo e implementare una patch urgentemente.
Il problema, ha spiegato Apache, era che la nuova versione 2.16 “non sempre proteggeva a dovere nella valutazione della ricerca“, il che la rendeva vulnerabile a un attacco di negazione del servizio. Il punteggio CVSS di 7,5 è molto alto e deve far riflettere. Questa debolezza della sicurezza è presente in tutte le versioni di Apache Log4j2 “dalla prima 2.0-alpha1 alla 2.16.0“.
Akamai ha ora distribuito un aggiornamento alla regola Apache esistente per includere la mitigazione di questa vulnerabilità Zero-Day CVE. Tale aggiornamento comprende l’aggiornamento della regola 3000014 per il set di regole Kona o il motore di sicurezza adattiva di Akamai, motori utilizzati nei prodotti Kona Site Defender, Web Application Protector e App & API Protector di Akamai.
Potrebbe non essere abbastanza, ma sarebbe già un passo in avanti visto che questa vulnerabilità ha attecchito in Italia, la quarta nazione più colpita, dopo USA, Regno Unito e Canada.
Se le onde assumono una forma “quadrata” è meglio se esci dall’acqua: stai rischiando grosso,…
Per tutti quelli che apprezzano l'abbonamento al Game Pass di Xbox ci sono probabilmente brutte…
Su WhatsApp, è possibile proteggere le chat inserendo una password. Nel mondo digitale, la protezione…
Per tutti i possessori di un device Android c'è in agguato una minaccia che, potenzialmente,…
Molti pensionati hanno diritto a più di un anno di pensione arretrata: ecco come funziona…
SPID in pericolo, presto potrebbe non solo diventare a pagamento, ma essere addirittura sostituto dalla…