La notizia di un importante exploit che utilizza la vulnerabilità Log4j quattro mesi dopo la sua divulgazione ci ricorda che il problema è ancora serio.
I rapporti stanno ora collegando il gruppo di hacker APT41 cinese alla violazione di almeno 6 reti del governo statale degli Stati Uniti e la situazione potrebbe andare di male in peggio. Come riportato da Venturebeat:
"... con ogni probabilità, l'intera portata del danno sarà ancora sconosciuta per un po' di tempo. Ad esempio, gli aggressori potrebbero aspettare il momento opportuno per utilizzare l'accesso che hanno ottenuto violando i sistemi utilizzando Log4Shell."
Come ha spiegato il CTO di Sonatype Brian Fox:
"Questi eventi seguono il tipico lasso di tempo che abbiamo visto con vulnerabilità zero-day come Log4Shell. La violazione di Equifax, che era di natura simile, ha impiegato circa cinque mesi per eliminare le onde radio dall'exploit iniziale. Quindi, da una prospettiva storica questo non sorprende: una vulnerabilità ad alta diffusione e a bassa complessità equivale a una probabilità del 100% di essere utilizzata".
Davvero stiamo ancora scaricando versioni vulnerabili di Log4J?
Purtroppo si.... e tanto. Ecco la timeline in tempo reale degli attacchi alla Software Supply Chain, curata da Sonatype