La superfície d'atac potencial de Log4Shell segueix sent significativa
Log4Shell, de vegades referit a l'ús de l'identificador de Log4j, després del nom de la biblioteca Apache Java on es va trobar, ha estat anomenat la vulnerabilitat del programari de la dècada per molts analistes i experts en seguretat. La vulnerabilitat es va descobrir a finals del 2021. Quatre mesos més tard i desenes d'avisos i alertes més tard, quant més segur és el panorama informàtic global quan es tracta de Log4Shell?
L'informe sobre Log4Shell no és optimista
Un equip d'investigadors de la firma de seguretat Rezilion va fer una anàlisi per intentar estimar la superfície d'atac potencial dels sistemes que encara són vulnerables a Log4Shell. La vulnerabilitat resideix dins d'una versió anterior de la biblioteca de registre d'Apache, molt popular, que s'executa a Java. Les troballes de l'equip de recerca de Rezilion no van ser encoratjadores.
Com era d'esperar, Rezilion també esperava que, a causa del flux interminable de cobertura mediàtica, articles i alertes emeses arran del descobriment de Log4Shell, la gran majoria de les instàncies que executaven el programari vulnerable s'haurien pegat des de fa temps. Tanmateix, les troballes de l'equip no van ser tan positives com esperaven.
L'informe de Rezilion sobre l'anàlisi de la superfície d'atac potencial anomena la situació global de Log4Shell "lluny de ser ideal". Utilitzant el motor especialitzat Shodan, l'equip va buscar versions obsoletes de programari i servidors vulnerables a Log4Shell. El resultat van ser 90.000 punts vulnerables sorprenents, exposats a Internet. Segons l'equip d'investigació, aquesta xifra, tot i que ja és significativa, és només "la punta de l'iceberg", en comparació amb la que probablement és la superfície d'atac potencial total per a Log4Shell.
Els servidors de Minecraft es van assenyalar com una categoria completament separada a l'informe d'investigació, a causa de la gran popularitat del joc propietat de Microsoft.
El joc llarg de Log4Shell
Els actors de l'amenaça han estat a l'aguait poques hores després del descobriment de la vulnerabilitat, sabent que l'enorme nombre de dispositius que executen el marc de registre de Java que conté el defecte trigarà molt de temps a aplicar-se. Cada setmana van sorgir nous mètodes i intents per abordar la vulnerabilitat de diferents maneres des del descobriment de la falla.
Tot i que la superfície d'atac d'una vulnerabilitat tan estesa probablement mai desapareixerà del tot, les xifres encara són preocupants i s'esperaran més intents d'explotar Log4Shell en els propers mesos.