Въздействието на прословутата уязвимост в Java библиотеката Log4j се проточва. Въпреки че най-големият проблем беше решен с спешна корекция 2.16, тази версия също изглежда е податлива на злоупотреба. Изследователите по сигурността откриха вход за атаки на отказ на услуга (DoS). Log4j 2.17 е публикуван за затваряне на записа.
Apache, разработчик на библиотеката на Java, съветва организациите да прилагат спешната корекция. Този съвет се прилага за трети път, откакто беше установено, че библиотеката е уязвима.
Преди седмица и половина изследователи по сигурността от Alibaba cloud екипът по сигурността разкри метод за злоупотреба с приложения с Log4j. Log4j се използва в приложенията за регистриране на събития. Оказа се, че е възможен достъп до приложения с библиотеката отвън с инструкции за изпълнение на зловреден софтуер. Злоупотребата отнема малко повече от един момент. Добавете към това очакваното разпространение на библиотеката в повечето корпоративни среди и ще разберете мащаба на бедствието, пред което е изправен глобалният ИТ пейзаж.
Разработчици на софтуер като Fortinet, Cisco, IBM и десетки други използват библиотеката в своя софтуер. Техните разработчици работиха извънредно през уикенда, 11 декември, за да обработят първата спешна корекция за уязвимостта и да я доставят на потребителските организации. Точно същото отклонение се очакваше от ИТ екипите в тези организации. Стотици хиляди опити за нападение бяха извършени по целия свят. Всички трябваше да преминат към 2.15 възможно най-скоро – докато 2.15 също не беше установено, че е уязвим.
Някои конфигурации на библиотеката останаха възможни във версия 2.15. Използването на тези конфигурации увековечи уязвимостта. Версия 2.16 направи конфигурациите невъзможни, гарантирайки нова корекция. Често за огорчение на вече претоварените ИТ екипи. Винаги обаче може да е по-зле, защото 2.16 също има неразположение.
Обратно към началото
Масовото глобално внимание към проблема предизвика мащабно световно разследване. Apache, разработчикът на библиотеката, изглежда не може да си поеме дъх в продължение на два дни, без охранителна компания да посочи нов, належащ проблем.
Накратко, оказва се, че е възможно да стартирате десетки версии на log4j – включително 2.16 – с един ред (низ), за да стартирате вечен цикъл, който срива приложението. Условията, на които трябва да отговаря една среда, за да бъде злоупотребена, са обширни. Толкова обширна, че практическата сериозност на проблема е оспорена. Пластирът се препоръчва официално, но не всички са убедени.
Отново, не всеки екземпляр на Log4j е уязвим, а само случаите, когато библиотеката работи с персонализирани настройки. Потенциалният нападател също се нуждае от подробна представа за това как работи Log4j. Контраст на първоначалната, лесно достъпна уязвимост.