Volevamo chiarire che Deceptive Bytes e i suoi prodotti non sono interessati dalla vulnerabilità Log4Shell appena scoperta in Log4J.
Qui di seguito abbiamo voluto stilare una serie di dubbi o domande su Log4Shell in relazione a Deceptive Bytes, per fare chiarezza
Prima di tutto
Cos’è Log4J?
Log4J è un’utility/libreria open source per registrare le informazioni in applicazioni e server basati su Java.
Cos’è Log4Shell?
Log4Shell (CVE-2021-44228) è il nome dato a una vulnerabilità scoperta di recente in Log4J che consente l’esecuzione di codice remoto in ambienti vulnerabili e privi di patch, il che significa che gli aggressori possono eseguire payload dannosi e infettare sistemi vulnerabili, come già accade in tutto il mondo.
E ora la domanda che potreste porvi è:
La piattaforma Deceptive Bytes è interessata?
No. La piattaforma Deceptive Bytes non utilizza Java in nessuna forma, quindi non è vulnerabile.
Ma la piattaforma usa Apache…
Apache è in realtà Apache Software Foundation, un’organizzazione no-profit che ospita e mantiene progetti open source come Log4J.
Deceptive Bytes utilizza il server HTTP Apache come parte della console di gestione della sua piattaforma, tuttavia, non è correlato a Log4J e non lo utilizza poiché è scritto in C e non in Java.
L’agente protegge dalla vulnerabilità Log4Shell?
Anche se non l’abbiamo ancora completamente testato, l’agente dovrebbe prevenire la maggior parte/tutti gli attacchi originati da questa vulnerabilità
Questo significa che non si devono applicare patch ai prodotti vulnerabili?
No, l’azione consigliata è quella di applicare patch a tutti gli ambienti, applicazioni e server interessati da questo problema e il prima possibile.
Sebbene l’agente possa proteggere in tali situazioni, non consigliamo di ritardare l’applicazione di patch, specialmente in casi come questo in cui la gravità è critica e già sfruttata in natura.