Log4Shell è il nome di una vulnerabilità ufficialmente comunicata al pubblico il 9 dicembre 2021 ed è estremamente pericolosa.
Exploit di questa vulnerabilità sono stati individuati sui servizi di Apple, Tesla, Minecraft, Amazon, Steam e molti altri.
Il CVSS (lo standard che indica quanto è pericolosa una vulnerabilità informatica) gli assegna un punteggio di 10/10, il massimo consentito.
Log4Shell è una vulnerabilità 0-day RCE.
0-day significa che la vulnerabilità non è espressamente nota allo sviluppatore del programma ma solo a possibili hacker, il che fa si che lo sviluppatore abbia 0 giorni per proteggersi.
RCE si riferisce a Remote Code Execution, cioè l’hacker può eseguire codice arbitrariamente sul TUO server.
Questa vulnerabilità è così pericolosa perché riguarda una libreria (Log4J) molto usata con Java, un linguaggio di programmazione molto diffuso e usato secondo Oracle, su 13 miliardi di dispositivi.
In pratica questa libreria serve a fare dei log, ovvero la registrare delle operazioni effettuate su un programma.
La vulnerabilità è che è stato scoperto che se si riesce a fargli loggare determinati tipi di stringhe (ad esempio scrivendole in una chat i cui messaggi vengono loggati da questa libreria), si può far eseguire del codice sul server che lo ospita a proprio piacimento.
In questo modo si può far eseguire del codice ad esempio scrivendo questa stringa nella chat di Minecraft, cambiando il nome del proprio wifi su un Mac o cambiando il nome della propria Tesla sul sito del produttore.
Una storia completa di cosa è e come è stata individuata questa falla si può trovare in italiano qui
Wikipedia in inglese ha già una voce molto aggiornata qui
Commenta qui sotto e segui le linee guida del sito.