Il cittadino medio non ha capito il problema log4j

Log4j è una popolare libreria Java dedicata al logging (per chi non lo sapesse, il logging è una tecnica per memorizzare quello che avviene durante l'elaborazione da parte di un software).

Alcuni ricercatori, già nel 2016 (presentata alla conferenza BlackHat), denunciarono la possibilità di sfruttare un problema nella gestione dell'input da parte di questa libreria per eseguire codice remoto (vulnerabilità chiamata "RCE": Remote Code Execution). Il problema sembra essere nell'interfaccia chiamata JNDI - Java Naming and Directory Interface - che, attraverso una particolare stringa che inizia con "${jndi:", seguita dal payload malevolo, permette l'esecuzione dello stesso sul sistema della vittima.

A questo punto, l'attaccante è già nella fase di exploitation e può facilmente prendere il controllo del sistema bersaglio, ad esempio attraverso l'esecuzione di una reverse shell.

Questa vulnerabilità, la CVE-2021-44228 e chiamata Log4Shell, è presente in tutti quei prodotti che includono la libreria Log4J nel loro codice. Un elenco potete trovarlo qui: Log4j overview related software.

Come utenti, qualsiasi software sviluppato in Java potrebbe essere, se include la libreria Log4J, vulnerabile: contattate il Vs fornitore e chiedete una verifica e l'eventuale rilascio della patch!