Nel frattempo, gli aggressori Proseguono a sfruttare attivamente Log4Shell ovunque sia possibile, dagli hacker criminali in cerca di una via d’accesso ai sistemi degli obiettivi agli aggressori sostenuti dallo stato cinese e iraniano che utilizzano l’exploit nelle loro campagne di spionaggio.
“Log4Shell apparirà nelle violazioni dei dati per il prossimo decennio – afferma Dan Lorenc, amministratore delegato della società di sicurezza Chainguard –. Per fortuna, l’anno scorso la maggior parte dei consumatori non ha risentito dell’impatto, perché la gravità del problema era talmente elevata che le persone si sono date da fare durante quel terribile fine settimana e per tutto il periodo delle vacanze, in una gara con gli aggressori. Ma c’è un impatto economico, un costo enorme per la bonifica. E non saremo in grado di far attivare tutti per un caso anche solo leggermente meno grave”.
La risposta di Apache
Dopo aver reso pubblica la vulnerabilità il 9 dicembre dello scorso anno, Apache ha dovuto fare i salti mortali nei primi giorni del mese per rilasciare le patch per Log4Shell. Di conseguenza, i ricercatori hanno trovato rapidamente dei modi per aggirare le patch e Apache è stata costretta a rilasciare diverse versioni successive, aumentando la confusione.
Secondo i ricercatori, tuttavia, che la risposta complessiva di Apache è stata all’altezza. Nalley aggiunge che Apache ha apportato modifiche e miglioramenti in reazione alla falla, assumendo personale dedicato per ampliare il supporto alla sicurezza ai progetti open source per individuare i bug prima che vengano inseriti nel codice e per rispondere agli incidenti quando necessario.
“In un breve lasso di tempo, due settimane, abbiamo apportato delle correzioni, è fantastico – sottolinea Nalley –. Per certi versi, questa non è una situazione nuova per noi, e mi piacerebbe dire che l’abbiamo affrontata perfettamente. Ma la realtà è che, anche per la Apache Software Foundation, il caso ha evidenziato la responsabilità che abbiamo nei confronti di tutti coloro che consumano il nostro software”.
Minaccia persistente
L’aspetto più inquietante è che, anche a distanza di un anno dalla scoperta della falla, almeno un quart dei download di Log4j dal repository Apache Maven Central e da altri server sono ancora pieni di versioni vulnerabili di Log4j. In altre parole, gli sviluppatori di software Proseguono a mantenere attivamente i sistemi che eseguono versioni vulnerabili dell’utility o addirittura costruiscono nuovi software vulnerabili. “La realtà è che nella maggior parte dei casi, quando si sceglie un componente software open source vulnerabile, è già disponibile una correzione”, afferma Brian Fox, cofondatore e responsabile tecnologico dell’azienda di software Sonatype, che gestisce Maven Central ed è anche un fornitore di repository Apache di terze parti.
Leggi tutto su www.wired.it
di Lily Hay Newman www.wired.it 2022-12-18 05:20:00 ,
