L'aggiornamento che doveva bloccare la vulnerabilità informatica Log4Shell, su cui la scorsa settimana ha lanciato un allarme anche l'agenzia italiana per la cybersicurezza, è vittima a sua volta di una falla che gli hacker stanno già sfruttando. Lo dicono in ricercatori di Praetorian che hanno rilasciato anche un video per dimostrarlo.
Il problema è duplice: il primo permette su alcune configurazione l'esecuzione di un attacco in stile DDoS, ovvero un tipo di minaccia in grado di bloccare un intero sito web o un sistema. il secondo è ancora più serio, perché facilita il prelievo dei dati contenuti su un server vulnerabile senza alcun permesso e senza lasciare traccia. Sarebbe questo il motivo secondo cui la Apache Software Foundation, che gestisce il codice della libreria informatica interessata dal bug Log4Shell, ha rilasciato a distanza di pochi giorni l'aggiornamento Java Log4J 2.16.0, che sembra essere esente dall'ulteriore problematica.
Gli specialisti di Praetorian e della compagnia di sicurezza Cloudflare, hanno spiegato che gli amministratori di sistemi e server devono aggiornare dal pacchetto precedente, 2.15.0, per essere sicuri di proteggersi dall'eventuale intrusione di terzi nelle loro reti. Log4j è uno strumento di monitoraggio che crea file di registro dei server, incluso su molti servizi di caratura globale, come Amazon e Twitter. Il 10 dicembre è emersa la possibilità di sfruttare un bug nel codice per indurre una macchina a eseguire comandi non autorizzati, anche per infettare l'intera rete locale a cui è collegata. La Apache Foundation aveva rilasciato subito dopo la notizia una versione correttiva, superata poi da quella più recente.
Riproduzione riservata © Copyright ANSA