Il 9 dicembre 2021, una vulnerabilità critica zero-day che colpisce la libreria Log4j2 di Apache, un’utilità di registrazione basata su Java, è stata rivelata al mondo e ha fatto breccia in Internet.
Come terzo linguaggio informatico più usato, Java è praticamente onnipresente, e la sua libreria Log4j2 è estremamente popolare, con una stima di 15 miliardi di dispositivi in tutto il mondo che attualmente utilizzano Java. La parte peggiore è che Log4j è difficile da trovare e facile da sfruttare, il che mette centinaia di milioni di applicazioni, database e dispositivi basati su Java a grave rischio.
L’intera portata del rischio presentato dalla vulnerabilità è senza precedenti, abbracciando ogni tipo di organizzazione in ogni settore. A causa della facilità dell’exploit combinato con la difficoltà di scoprire la vulnerabilità all’interno della vostra organizzazione, Log4Shell è il proverbiale ago in un pagliaio.
Il direttore dell’Agenzia per la sicurezza informatica e delle infrastrutture Jen Easterly ha notato che Log4Shell è la vulnerabilità “più grave” a cui ha assistito nella sua decennale carriera. Ha esortato i leader aziendali a non ritardare i processi di rimedio, notando che questa vulnerabilità potrebbe richiedere anni per essere affrontata. Rimediare a questa vulnerabilità non sarebbe un processo semplice e unico, e sarebbero necessari più metodi di rilevamento.