Die impak van die berugte kwesbaarheid in die Java-biblioteek Log4j sloer. Alhoewel die grootste probleem opgelos is met dringende pleister 2.16, blyk hierdie weergawe ook vatbaar te wees vir misbruik. Sekuriteitsnavorsers het 'n ingang gevind vir Denial of Service (DoS)-aanvalle. Log4j 2.17 is gepubliseer om die inskrywing te sluit.
Apache, ontwikkelaar van die Java-biblioteek, raai organisasies aan om die noodpleister toe te pas. Dié advies geld vir die derde keer sedert die biblioteek kwesbaar gevind is.
'n Week en 'n half gelede het sekuriteitsnavorsers van Alibaba's cloud sekuriteitspan het 'n metode onthul om toepassings met Log4j te misbruik. Log4j word in toepassings gebruik om gebeurtenisse aan te teken. Dit blyk moontlik te wees om toegang tot toepassings met die biblioteek van buite af te verkry met instruksies vir die uitvoering van wanware. Mishandeling verg min meer as 'n oomblik. Voeg daarby die geskatte voorkoms van die biblioteek in die meeste korporatiewe omgewings en jy verstaan die omvang van die ramp wat die globale IT-landskap in die gesig staar.
Sagteware-ontwikkelaars soos Fortinet, Cisco, IBM en dosyne ander gebruik die biblioteek in hul sagteware. Hul ontwikkelaars het oor die naweek 11 Desember gewerk om die eerste noodpleister vir die kwesbaarheid te verwerk en dit aan gebruikersorganisasies te lewer. Presies dieselfde drif is van die IT-spanne binne hierdie organisasies verwag. Honderdduisende aanvalspogings het wêreldwyd plaasgevind. Almal moes so gou moontlik na 2.15 oorskakel – totdat 2.15 ook kwesbaar gevind is.
Sekere konfigurasies van die biblioteek het moontlik gebly in weergawe 2.15. Die gebruik van hierdie konfigurasies het die kwesbaarheid voortgesit. Weergawe 2.16 het die konfigurasies onmoontlik gemaak, wat 'n nuwe pleister waarborg. Dikwels tot die ergernis van reeds oorwerkte IT-spanne. Dit kan egter altyd erger wees, want 2.16 het ook 'n kwaal.
Terug na begin
Die massiewe wêreldwye aandag aan die probleem het tot massiewe wêreldwye ondersoek gelei. Apache, ontwikkelaar van die biblioteek, kan blykbaar twee dae lank nie asem skep sonder dat 'n sekuriteitsmaatskappy 'n nuwe, dringende probleem uitwys nie.
Kortliks, dit blyk dat dit moontlik is om dosyne weergawes van log4j – insluitend 2.16 – met een lyn (string) te laat loop om 'n ewige lus te begin wat die toepassing ineenstort. Die voorwaardes waaraan 'n omgewing moet voldoen om misbruik te word, is omvangryk. So omvangryk dat die praktiese erns van die probleem betwis word. Die pleister word amptelik aanbeveel, maar nie almal is oortuig nie.
Weereens, nie elke geval van Log4j is kwesbaar nie, maar slegs gevalle waar die biblioteek op gepasmaakte instellings werk. 'n Potensiële aanvaller benodig ook gedetailleerde insig in hoe Log4j werk. ’n Kontras met die aanvanklike, maklik toeganklike kwesbaarheid.