sabato 8 gennaio 2022

Vulnerabilità in log4j

E' noto che non mi occupo di questioni eccessivamente tecniche, ma la
vulnerabilità trovata in log4j è decisamente importante. Intanto un articolo
esplicativo (e tecnico):
- https://www.lunasec.io/docs/blog/log4j-zero-day/.

Riassumo dal SANS NewsBites del 10 dicembre: Una vulnerabilità nel log4j può
essere sfruttata per l'esecuzione di codice da remoto (RCE). Mantenuta
dall'Apache project, log4j è una libreria per realizzare funzioni di log.
Essa è usata in molti servizi cloud e prodotti. Un attaccante può scrivere
una stringa in una richiesta http; se l'applicazione tiene il log della
stringa con log4j, questo può essere ingannato e connettersi a un server
dell'attaccante e scaricare codice che sarà eseguito dal servizio. La
vulnerabilità ha codice CVE-2021-44228.

Questa vulnerabilità dimostra un problema di sicurezza non indifferente: è
preferibile usare librerie e strumenti sviluppati da altri (purché
competenti), in modo da sviluppare autonomamente e male le stesse soluzioni,
ma se le librerie più diffuse sono compromesse, tantissimi servizi saranno
vulnerabili.

Ecco quindi che l'uso di soluzioni sviluppate da altri non ci deve esimere
dal tracciarle (ecco a cosa serve l'asset inventory!), monitorarle,
verificare se sono costantemente mantenute. In altre parole: non vengono a
costo zero, anche se sono free. E a questo punto mi è venuto in mente che
anche questa è una lezione che andrebbe spiegata per bene a tutti coloro che
lavorano nel o con l'IT.

Ulteriore articolo tecnico è quello del CERT del Governo svizzero:
-
https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-
log4j/
.

Nessun commento:

Posta un commento