29 Dicembre 2021
È stata scoperta una vulnerabilità grave in Log4j, un'utility open-source molto diffusa per generare file di log dei server, che permette di eseguire codice non autorizzato. Exploit sono già in circolazione e ci sono casi confermati di attacchi in corso. Tra i bersagli ci sarebbe anche Minecraft; in effetti inizialmente si pensava a un attacco rivolto espressamente al gioco di Microsoft, ma è successivamente emerso che il problema è molto più diffuso. Nelle ore successive alle prime segnalazioni sono stati scoperti server che eseguivano scansioni su tutta internet alla ricerca di macchine vulnerabili.
I ricercatori ed esperti di cybersicurezza dicono che la vulnerabilità è
"un grosso problema per tutti gli ambienti ancora legati a runtime Java più datate: frontend web per apparecchiature di rete, ambienti app più datati che usano API legacy, e server Minecraft, che dipendono dalle versioni più vecchie per mantenere la compatibilità con le mod".
Log4j è incluso in moltissimi framework popolari Apache, tra cui Struts2, Solr, Druid e Flink. Minecraft è l'esempio più lampante, ma il numero di server web potenzialmente vulnerabili è enorme. Tracce di vulnerabilità sono per esempio state già osservate sui server di Steam e di Apple iCloud.
Please set log4j2.formatMsgNoLookups to true, or you should upgrade to log4j-2.15.0-rc1 https://t.co/rWNshVfUX0 to defend the latest apache log4j2 RCE vulnerability 🤣
— heige (@80vul) December 9, 2021
Secondo i ricercatori di LunaSec non esiste una versione stabile di Log4j con la vulnerabilità risolta, ma c'è una release candidate, che potrebbe essere stabile a sufficienza data la gravità dell'exploit. È la versione 2.15.0-rc2, e si trova su GitHub. È anche vero che ci sono software alternativi a Log4j per la creazione di file di registro, anche più performanti e affidabili; ma generalmente non è un componente che si modifica, perché il default funziona sufficientemente bene.
Tanto per chiarire, il problema riguarda i server ma può riversarsi in modo diretto anche sui sistemi di noi utenti finali: i server possono essere talmente compromessi da diventare a loro volta vettori di attacco per i sistemi client. La situazione è in divenire e per il momento queste sono le informazioni a disposizione. Per quanto riguarda Minecraft, il consiglio è di fare molta attenzione ai server a cui ci si collega; tra l'altro è possibile aggiungere al proprio launcher una flag che neutralizza il vettore d'attacco nella maggior parte dei casi. La procedura è la seguente:
- Aprire il launcher e la scheda installazioni
- Selezionare l'installazione in uso
- Cliccare il menu dei tre puntini > Eidt > More Options
- Incollare la stringa -Dlog4j2.formatMsgNoLookups=true alla fine della sezione JVM flags.
Questo workaround funziona per tutti i server Apache con Log4j, almeno dalle versioni 2.10.0 all'ultima disponibile, a prescindere da Minecraft. Per le versioni più vecchie che non possono aggiornare, la questione è più complicata; gli sviluppatori coinvolti sono invitati a seguire il link FONTE al sito di LunaSec dove ci sono spiegazioni più dettagliate.
Commenti
Qualcuno mi sa dire se questa vulnerabilità è presente anche nella versione 1 di log4j? Secondo domanda: il problema è solo su applicativi cloud o anche su quelli desktop "offline" ?
grazie
Mi sa che mi toccherà aggiornare un bel pò di macchine e cluster ELK su Azure ^^'
Foto z o z z e non al sicuro? :)
non saprei proprio... mah
92
?!??
10 minuti di applausi ....
Apple icloud deve essere omesso nell'articolo per questioni di sicurezza, grazie
A me hanno classificato spam un'immagine (il meme "Parole dure, parole dure da un uomo davvero strano" de I Simpson...
beh...dipende dal contenuto del pacco... pensa se è un pc da 2mila euro... per farsi perdonare... minimo ci si vede 10 volte... XD
Ma non fate più video nel canale YT per la settimana atipica molto di ferie?
Perché gli articoli continuano vedo.
se non ricordo male (sono anni che non uso log4j), puoi buttare log dove vuoi, su file, socket o logd. e comprensibilmente, io ho sempre visto usare moltissimo i server di log.
Ok, ma "innoquo" no, daje...
io ho uno storico di account tutti bloccati per commenti normalissimi (solo critici sul settore pubblicitario), non ti stupire.
Sembra più un problema di account considerato non affidabile che un problema di commento in sè
Come Stefano Samsung a me?
Eternals, il commento (che era in risposta ad un altro utente) lo avevo messo nell'articolo in cui parlano dell'annuncio che arriverà su Disney+ a gennaio.
Che film è?
"Carta igienica" e "curriculum" nello stesso post ci fanno capire tante cose di te.
A me non sospendono più per settimane. Chissa cosa sarà successo . Vabbe meglio cosi
A dir il vero i vaccinati sono il 75% e QUASI tutti nella fascia alta di età. Per cui qui, si, la percentuale è decisamente diversa.
O.T.: @redazione mi potreste spiegare perchè questo commento (fatto in un altro articolo) è stato classificato come spam?
https://uploads.disquscdn.c...
Tralasciando l'argomento trattato, a me sembra un commento normalissimo e innoquo, sinceramente... Non vedo in che modo sia spam.
E questo è solo l'ultimo, perchè negli ultimi giorni almeno la metà dei commenti che ho fatto è stata rimossa allo stesso modo senza alcun motivo apparente...
per avere quel risultato, sei tu che devi bloccare lui, ma lui potrà continuare a scrivere perculandoti e tu non ne saprai mai niente
ma se ti rompe il pacco, poi che ci fai con la figona?
Fidati!
"dati del kernel" è tipo la parafrasi per dire "non ho la più pallida idea di quel che dico e leggo ma, avendo 6 anni, ho bisogno di qualcosa che mi faccia autoconvincere di non essermi reso ridicolo nella mia ignoranza".
Per me è la mia famiglia, il mio compagno di vita.
In tutto questo tempo hanno attraversato la mia esistenza diverse donne, ma lui è sempre stato qui.
Lo si potrebbe fare, ma nessuno lo fa.
A prova di questo le Agenzie governative entravo in ogni tipo di sistemi come fossero panetti di burro.
Non lo so. Questa cosa non mi convince molto. In un progetto condiviso e open si fa presto e recuperare quel tipo di software soprattutto nel caso di grosse aziende che operano nell'open source. Ovviamente io non lo posso comprare, ma penso che la maggioranza delle aziende che lavorano con os possano permetterselo eccome.
Mi spiace tanto. Sono come figli
Nel senso che è paralizzato da dieci giorni, presumibilmente un edema che ora comprime qualcosa.
Oggi il veterinario mi ha detto di sospendere il cortisone perché non avendo effetto è inutile continuare la terapia.
Ora è qui davanti a me, sulla sua cuccia... ed ovviamente il mio umore non è dei migliori.
Certo che sì, ms con una differenza non di poco conto; quelle suite costano cifre proibitive e non sono alla portata dei comuni sviluppatori (io ad esempio non le ho).
Per contro per Governi, grandi aziende e criminalità organizzata non rappresenta un problema disporne ed anche stipendiare gli analisti/hacker che si spulcino una ad una le vulnerabilità individuate per trovare le più promettenti su cui costruire l'attacco.
Ma anche senza software di analisi automatica è comunque più semplice trovare una vulnerabilità con una tradizionale analisi manuale del codice, a patto ovviamente di disporre del capitale necessario per stipendiare le figure di alto livello che vanno alla loro ricerca.
Di nuovo, criminalità e governi dispongono delle risorse necessarie.
È anche vero che con il codice aperto e le suite che hai citato, le vulnerabilità le possono scoprire anche gli stessi sviluppatori
Scusa. Mi ha colpito la frase. In che senso chicco sta morendo?
Sottile
Ecco perché Gemini è saltato, speriamo bene.
Eccola la caxxata. Come sempre, sei il solito ignorante.