Ecco il video che dimostra come la prima patch di sicurezza rilasciata per risolvere il bug di Log4Shell era afflitta da un’altrettanto grave vulnerabilità.
L’aggiornamento che doveva bloccare la vulnerabilità informatica Log4Shell, su cui la scorsa settimana ha lanciato un allarme anche l’agenzia italiana per la cybersicurezza, è vittima a sua volta di una falla che gli hacker stanno già sfruttando.
Il problema è duplice: il primo permette su alcune configurazione l’esecuzione di un attacco in stile DDoS, ovvero un tipo di minaccia in grado di bloccare un intero sito web o un sistema.
Il secondo è ancora più serio, perché facilita il prelievo dei dati contenuti su un server vulnerabile senza alcun permesso e senza lasciare traccia. Sarebbe questo il motivo secondo cui la Apache Software Foundation, che gestisce il codice della libreria informatica interessata dal bug Log4Shell, ha rilasciato a distanza di pochi giorni l’aggiornamento Java Log4J 2.16.0, che sembra essere esente dall’ulteriore problematica.
Gli specialisti di Praetorian e della compagnia di sicurezza Cloudflare, hanno spiegato che gli amministratori di sistemi e server devono aggiornare dal pacchetto precedente, 2.15.0, per essere sicuri di proteggersi dall’eventuale intrusione di terzi nelle loro reti. Log4j è uno strumento di monitoraggio che crea file di registro dei server, incluso su molti servizi di caratura globale, come Amazon e Twitter. Il 10 dicembre è emersa la possibilità di sfruttare un bug nel codice per indurre una macchina a eseguire comandi non autorizzati, anche per infettare l’intera rete locale a cui è collegata. La Apache Foundation aveva rilasciato subito dopo la notizia una versione correttiva, superata poi da quella più recente.
