Vulnerabilità in log4j

E' noto che non mi occupo di questioni eccessivamente tecniche, ma la vulnerabilità trovata in log4j è decisamente importante. Intanto un articolo esplicativo (e tecnico):
- https://www.lunasec.io/docs/blog/log4j-zero-day/.

Riassumo dal SANS NewsBites del 10 dicembre: Una vulnerabilità nel log4j può essere sfruttata per l'esecuzione di codice da remoto (RCE). Mantenuta dall'Apache project, log4j è una libreria per realizzare funzioni di log. Essa è usata in molti servizi cloud e prodotti. Un attaccante può scrivere una stringa in una richiesta http; se l'applicazione tiene il log della stringa con log4j, questo può essere ingannato e connettersi a un server dell'attaccante e scaricare codice che sarà eseguito dal servizio. La vulnerabilità ha codice CVE-2021-44228.

Questa vulnerabilità dimostra un problema di sicurezza non indifferente: è preferibile usare librerie e strumenti sviluppati da altri (purché competenti), in modo da sviluppare autonomamente e male le stesse soluzioni, ma se le librerie più diffuse sono compromesse, tantissimi servizi saranno vulnerabili.

Ecco quindi che l'uso di soluzioni sviluppate da altri non ci deve esimere dal tracciarle (ecco a cosa serve l'asset inventory!), monitorarle, verificare se sono costantemente mantenute. In altre parole: non vengono a costo zero, anche se sono free. E a questo punto mi è venuto in mente che anche questa è una lezione che andrebbe spiegata per bene a tutti coloro che lavorano nel o con l'IT.

Ulteriore articolo tecnico è quello del CERT del Governo svizzero:
- https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/.