Steam, Apple iCloud e Minecraft vulnerabili a exploit zero-day

Diversi servizi popolari, tra cui Apple iCloud, Steam, Amazon, Twitter, Cloudflare e Minecraft, sono vulnerabili a un exploit zero-day ‘ubiquo’ che è stato scoperto nel sistema di logging Java ampiamente utilizzato chiamato ‘log4j2’ sviluppato dalla Apache Software Foundation.

La vulnerabilità, soprannominata “Log4Shell” dai ricercatori di cybersecurity di LunaSec e accreditata a Chen Zhaojun di Alibaba, sfrutta risultati in Esecuzione di Codice Remoto (RCE) registrando una certa stringa, che consente agli attaccanti di ottenere accesso incontrollato ai sistemi informatici e importare malware mettendo a rischio milioni di dispositivi.

Il 0-day è stato twittato il 9 dicembre insieme a una prova di concetto (POC) pubblicata su GitHub.

Secondo i ricercatori, data l’ubiquità di questa libreria, l’impatto dell’exploit (controllo completo del server) e quanto sia facile sfruttarlo, l’impatto di questa vulnerabilità (CVE-2021-44228) è “piuttosto grave”.

I ricercatori di LunaSec hanno affermato che chiunque utilizzi Apache Struts è probabilmente vulnerabile, aggiungendo che vulnerabilità simili sono state sfruttate in precedenti attacchi come la violazione di Equifax nel 2017. La vulnerabilità nei server di Apple può essere attivata semplicemente cambiando il nome di un iPhone.

Il problema colpisce tutte le versioni tra 2.0-beta-9 e la versione 2.14.1. Tuttavia, LunaSec ha notato che le versioni di Java superiori a 6u211, 7u201, 8u191 e 11.0.1 non sono affette dalla vulnerabilità.

La vulnerabilità colpisce tutte le versioni tra 2.0-beta-9 e la versione 2.14.1. Molti progetti Open Source come il server Minecraft, Paper, hanno già iniziato a correggere il loro utilizzo di ‘log4j2’. Un elenco esteso di risposte da parte delle organizzazioni colpite è stato elencato qui.

La Apache Software Foundation ha rilasciato un aggiornamento di sicurezza di emergenza nell’ultima versione della libreria, versione 2.15.0, per correggere la vulnerabilità zero-day in ‘log4j’ insieme a misure di mitigazione per coloro che non possono aggiornare immediatamente.

“Un attaccante che può controllare i messaggi di log o i parametri dei messaggi di log può eseguire codice arbitrario caricato dai server LDAP quando la sostituzione della ricerca dei messaggi è abilitata,” ha dichiarato la Fondazione Apache in un avviso. “Dalla Log4j 2.15.0, questo comportamento è stato disabilitato per impostazione predefinita.”

A coloro che utilizzano Log4j nel loro software si consiglia di aggiornarlo immediatamente all’ultima versione 2.15.