Oggi facciamo eco all’exploit Log4J / Log4Shell, che attacca in remoto i sistemi basati su Java consentendo agli hacker di assumere il controllo dei server esposti sul Web inviando e attivando una stringa di testo dannosa.
AMD è uno dei pochi che è uscito illesocome ha colpito i giganti della tecnologia come Intel, Microsoft o Nvidia. Questo exploit si trova nella libreria open source Apache Log4j che registra eventi ed errori all’interno delle applicazioni basate su Java. In altre parole, è una vulnerabilità legata al software, e non l’hardware come siamo stati abituati a vedere per anni (Spectre, Meltdown, ecc.).
AMD ha annunciato che, a seguito di un’indagine preliminare, nessuno dei loro prodotti sembra essere interessato dalla vulnerabilità. Tuttavia, considerando il potenziale impatto, AMD ha affermato che “continua la tua analisi“.
Nel caso di Intel, i suoi prodotti interessati sono:
- Kit di sviluppo audio Intel
- Intel Datacenter Manager
- plug-in del browser di esempio oneAPI per Eclipse
- Debugger di sistema Intel
- Intel Secure Device integrato
- Libreria del kernel Intel Genomics
- Intel System Studio
- Strumento di annotazione della visione artificiale gestito da Intel
- Kit di sviluppo del firmware della soluzione per sensori Intel
Nvidia elenca quattro possibili prodotti che potrebbero avere un’alta percentuale di essere interessati da Log4J, soprattutto se i driver del prodotto non sono aggiornati dal loro rilascio:
- CUDA Toolkit Visual Profiler e Nsight Eclipse Edition
- Sistemi DGX
- NetQ
- Server licenze software vGPU
Per quanto riguarda Microsoft, l’azienda ha rilasciato aggiornamenti per due dei suoi prodotti che prendono di mira questa vulnerabilità: Its Nube primaverile azzurra utilizza alcuni elementi di Log4J nel processo di avvio, rendendolo vulnerabile agli exploit a meno che non venga aggiornato. L’applicazione Azure DevOps Microsoft ha anche ricevuto mitigazioni volte ad annullare l’exploit.