È stata individuata una falla che riguarda iCloud, Steam, Minecraft, Twitter, Cloudflare e centinaia di altri siti e servizi web, un problema grave al punto che Adam Meyers, vice presidente senior responsabile intelligence di Crowdstrike – azienda specializzata in sicurezza – parla di “internet in fiamme”, una delle peggiori vulnerabilità mai scoperte, denominata Log4Shell.
La falla zero-day (sfruttata attivamente in rete), indicata nel database delle vulnerabilità come CVE-2021-44228, riguarda una libreria Java di Apache usata da un gran numero di applicazioni, siti Web e servizi che è classificata come critica e consente agli attacker l’esecuzione arbitraria di codice da remoto.
Stando a quanto riporta un utente nel subreddit dedicato alla programmazione, molte aziende stanno lottano per trovare una patch. Al momento, nessuna azienda vulnerabile ha commentato la situazione, ma è molto probabile che esperti di sicurezza si stiano muovendo dietro le quinte per trovare una soluzione.
Il CERT (Computer Emergency Response Team) della Nuova Zelanda riferisce che è stato diffuso un Proof of Concept (PoC) della vulnerabilità e che questa risulta sfruttata attivamente in rete. LunaSec, azienda specializzata in sicurezza, riferisce che alcune versioni delle librerie Java risentirebbero di meno del problema ma che ovviamente i cybercriminali potrebbero restringere i possibili vettori di attacco.
Ars Technica riferisce che il sito dedicato a Minecraft ha inviato degli avvisi agli utenti, spiegando che la falla potrebbe permettere ad attacker di ottenere accesso da remoto ai loro computer. Sviluppatori ed esperti di sicurezza sono ad ogni modo al lavoro per trovare una soluzione e consigliano di implementare tempestivamente le azioni di mitigazione fornite da Apache seguendo le indicazioni del bollettino di sicurezza.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
