Lo affermano gli esperti dopo il rilascio del più recente aggiornamento per Log4Shell da parte della Apache Software Foundation.
Log4Shell, una delle più gravi vulnerabilità informatiche, è stata chiusa definitivamente. Lo affermano gli esperti dopo il rilascio del più recente aggiornamento per Log4J da parte della Apache Software Foundation.
Si tratta della fondazione no-profit dietro lo sviluppo della libreria di codici interessata dalla vulnerabilità, base tecnica su cui poggiano servizi e app di livello globale, come Amazon e Twitter. Con il rilascio dell’aggiornamento 2.17.1, la falla viene risolta, così come i persistenti problemi di sicurezza che ne caratterizzavano la versione precedente, 2.16.0, diffusa nei giorni immediatamente successivi la scoperta del bug. Log4Shell, così come emerso all’inizio del mese, permetteva a utenti esterni di violare le piattaforme vulnerabili, senza lasciare traccia delle loro mosse.
Secondo le analisi degli esperti di informatica, si sono contati oltre 4 milioni di tentativi di sfruttare la vulnerabilità. In particolare, per Check Point Research, da quando è stata resa pubblica, in Italia il 43% delle reti aziendali ha subito un attacco connesso a Log4Shell. In pratica, quasi un impresa su due nel nostro Paese è stata interessata. Ed è il motivo per cui anche l’agenzia italiana per la cybersicurezza aveva chiesto molta attenzione sulla problematica. La versione 2.17.1 si concentra sulla vulnerabilità nota come CVE-2021-44832, che potrebbe causare l’esecuzione di codice non autorizzato da parte di chi è già all’interno del sistema violato, utilizzando la libreria Log4j.
Si tratta, come spiegano i ricercatori, di uno scenario improbabile, tanto che al bug è stato assegnato un livello di pericolosità moderato. Non vuol dire che non sia importante aggiornare, anche perché al momento non si sa se sia possibile, per terzi, sfruttare qualche altra falla presente nella 2.16.0, e non ancora individuata.