Un nuovo exploit chiamato “Log4Shell” sta creando diversi problemi ai team di sicurezza delle grandi aziende tecnologiche. Se sfruttata, la vulnerabilità consente agli hacker di eseguire codice dannoso su server vulnerabili e, secondo quanto riferito, può colpire piattaforme come iCloud e Steam.
Come dettagliato dalla società di sicurezza LunaSec, la vulnerabilità è stata trovata per la prima volta in log4j, una libreria open source utilizzata da più app e siti Web per la registrazione, che è il processo di conservazione di un elenco delle attività eseguite per esaminarle in seguito per correggere bug o altri errori.
Secondo il ricercatore di sicurezza Marcus Hutchins, Log4Shell potrebbe interessare milioni di app in tutto il mondo poiché la libreria log4j è ampiamente utilizzata dagli sviluppatori. Per sfruttare la vulnerabilità, gli hacker devono salvare una stringa speciale con caratteri specifici nel registro.
Per sfruttare la vulnerabilità, un utente malintenzionato deve far sì che l’applicazione salvi una stringa speciale di caratteri nel registro. Poiché le applicazioni registrano regolarmente un’ampia gamma di eventi, come i messaggi inviati e ricevuti dagli utenti o i dettagli degli errori di sistema, la vulnerabilità è insolitamente facile da sfruttare e può essere attivata in vari modi.
Recentemente, l’exploit Log4Shell è stato trovato sui server Minecraft in cui gli hacker hanno utilizzato la vulnerabilità tramite messaggi di chat. LunaSec afferma che anche iCloud di Apple è vulnerabile al nuovo exploit. Inoltre, gli aggressori possono persino attivare il codice dannoso tramite i codici QR, il che rende l’exploit ancora più pericoloso.
Apple e altre società non hanno risposto a una richiesta di commento, ma stanno sicuramente lavorando per risolvere l’exploit il prima possibile.
Leggi o Aggiungi Commenti