L’exploit Apache Log4j può avere un impatto su Minecraft: Java Edition, Amazon, Twitter e molti altri, ma può essere mitigato.
È stata scoperta una vulnerabilità di sicurezza zero-day di vasta portata che potrebbe consentire l’esecuzione di codice remoto da parte di attori nefasti su un server, e che potrebbe avere un impatto su moltissime applicazioni online, tra cui Minecraft: Java Edition, Steam, Twitter, e molte altre se non controllate.
L’exploit identificato come CVE-2021-44228, che è contrassegnato come 9.8 sulla scala di gravità da (Red Hat) ma è abbastanza fresco che è ancora in attesa di analisi da parte di NVD. Si trova all’interno della libreria di log basata su Apache Log4j Java, ampiamente utilizzata, e il pericolo sta nel modo in cui consente a un utente di eseguire codice su un server, potenzialmente assumendo il controllo completo senza accesso o autorità, attraverso l’uso di messaggi di log.
“Un attaccante che può controllare i messaggi di log o i parametri dei messaggi di log può eseguire codice arbitrario caricato dai server LDAP quando la sostituzione del lookup del messaggio è abilitata”, la (descrizione ID del CVE afferma).
Il problema potrebbe interessare Minecraft: Java Edition, Tencent, Apple, Twitter, Amazon e molti altri fornitori di servizi online. Questo perché mentre Java non è più così comune per gli utenti, è ancora ampiamente utilizzato nelle applicazioni aziendali. Fortunatamente, Valve ha detto che Steam non è influenzato dal problema.
“Abbiamo immediatamente rivisto i nostri servizi che utilizzano log4j e verificato che le nostre regole di sicurezza di rete hanno bloccato il download e l’esecuzione di codice non attendibile”, ha detto un rappresentante di Valve a PC Gamer. “Non crediamo che ci siano rischi per Steam associati a questa vulnerabilità”.
Per quanto riguarda una soluzione, ci sono fortunatamente alcune opzioni. Il problema riguarda le versioni di log4j tra 2.0 e 2.14.1. L’aggiornamento alla versione 2.15 di Apache Log4j è la migliore linea d’azione per mitigare il problema, come indicato nella pagina delle vulnerabilità di sicurezza di Apache Log4j. Tuttavia, gli utenti di versioni precedenti possono anche essere mitigati impostando la proprietà di sistema “log4j2.formatMsgNoLookups” a “true” o rimuovendo la classe JndiLookup dal classpath.
Se state eseguendo un server che usa Apache, come il vostro server Java di Minecraft, vorrete aggiornare immediatamente alla versione più recente o applicare una patch alla vostra vecchia versione come sopra per assicurarvi che il vostro server sia protetto. Allo stesso modo, Mojang ha rilasciato una patch per proteggere i client di gioco degli utenti, e ulteriori dettagli possono essere trovati (qui).
La sicurezza dei giocatori è la massima priorità per noi. Purtroppo, oggi abbiamo identificato una vulnerabilità di sicurezza in Minecraft: Java Edition.
Il problema è stato risolto, ma per favore segui questi passi per rendere sicuro il tuo client di gioco e/o i tuoi server. Si prega di RT per amplificare.https://t.co/4Ji8nsvpHf
– Minecraft (@Minecraft) December 10, 2021
La paura a lungo termine è che, mentre quelli che sanno ora mitigheranno la falla potenzialmente pericolosa, ci saranno molti altri lasciati al buio che non lo faranno e potrebbero lasciare la falla senza patch per un lungo periodo di tempo.
Molti temono già che la vulnerabilità venga sfruttata, compreso il CERT NZ. Come tale, molti utenti aziendali e cloud probabilmente si affretteranno a patchare l’impatto il più rapidamente possibile.
“A causa della facilità di sfruttamento e l’ampiezza di applicabilità, sospettiamo che gli attori del ransomware comincino a sfruttare questa vulnerabilità immediatamente”, dice l’azienda di sicurezza Randori in un (blog post) sulla vulnerabilità.