Log4Shell continua a causare danni: la FTC promette multe per chi non aggiorna Log4j

Log4Shell continua a causare danni: la FTC promette multe per chi non aggiorna Log4j
di

Stando alle dichiarazioni di Apache, produttore del tool di logging Log4j, la falla Log4Shell è stata risolta già lo scorso dicembre, non prima di aver causato danni milionari ai server di tutto il mondo. Tuttavia, a quanto pare, alcuni criminali stanno ancora usando l'exploit di Log4Shell sui server che utilizzano VMware Horizon.

In particolare, gli hacker userebbero una falla di Log4j della piattaforma VMware Horizon per installare malware e ottenere il pieno controllo dei server infettati: il caso più grave riscontrato in questi giorni è quello del National Health System britannico, il sistema sanitario pubblico del Regno Unito.

La falla, nota come CVE-2021-44228, è una delle più ampiamente diffuse e gravi degli ultimi anni, tanto che Log4Shell ha raggiunto gravità 10 in scala decimale solo pochi giorni dopo la sua comparsa sul web. Ciò dipende dal fatto che il programma affetto dalla falla, Log4j, è utilizzato da milioni di server in tutto il mondo, rendendoli tutti vulnerabili a malware ed exploit.

Gli attacchi ai server affetti da Log4Shell sono andati avanti per tutto il mese di dicembre, insieme ad analoghi tentativi di exploit di VMware, che soffre della stessa vulnerabilità. Sia Apache che VMware hanno rilasciato degli aggiornamenti per i propri prodotti che risolvono il problema, ma non tutti i server sono stati aggiornati correttamente dai propri amministratori.

Nella giornata di ieri, la Federal Trade Commission, o FTC, degli Stati Uniti ha avvisato tutti i server con contatti con il pubblico di effettuare l'aggiornamento, minacciando multe salatissime in caso contrario. L'esempio principale, in questo frangente, è la sanzione da 575 milioni di Dollari ricevuta da Equifax nel 2019, quando è stato scoperto che l'azienda non aveva applicato alcuna patch risolutiva ad una falla che poteva creare enormi danni ai propri clienti.

In un commento ufficiale, la FTC ha detto di "voler usare la propria piena autorità per perseguire le aziende che non hanno protetto i dati dei consumatori in maniera ragionevole, prendendo le adeguate precauzioni, dopo la scoperta di Log4j e di ogni altra vulnerabilità simile in futuro".

Quanto è interessante?
1