Uticaj zloglasne ranjivosti u Java biblioteci Log4j se odugovlači. Iako je najveći problem riješen hitnom zakrpom 2.16, čini se da je i ova verzija podložna zloupotrebama. Istraživači sigurnosti pronašli su ulaz za napade uskraćivanja usluge (DoS). Log4j 2.17 je objavljen da zatvori unos.
Apache, programer Java biblioteke, savjetuje organizacijama da primjene hitnu zakrpu. Taj savjet se primjenjuje po treći put otkako je utvrđeno da je biblioteka ranjiva.
Prije nedelju i po, istraživači sigurnosti iz Alibabe cloud sigurnosni tim je otkrio metodu zloupotrebe aplikacija pomoću Log4j. Log4j se koristi u aplikacijama za evidentiranje događaja. Ispostavilo se da je moguće pristupiti aplikacijama s bibliotekom izvana uz upute za izvršavanje zlonamjernog softvera. Za zlostavljanje je potrebno malo više od jednog trenutka. Dodajte tome procijenjenu pojavnost biblioteke u većini korporativnih okruženja i shvatit ćete razmjere katastrofe s kojom se suočava globalni IT krajolik.
Programeri softvera kao što su Fortinet, Cisco, IBM i desetine drugih koriste biblioteku u svom softveru. Njihovi programeri su radili prekovremeno tokom vikenda 11. decembra kako bi obradili prvu hitnu zakrpu za ranjivost i isporučili je korisničkim organizacijama. Potpuno isti pomak se očekivao od IT timova unutar ovih organizacija. Stotine hiljada pokušaja napada dogodilo se širom svijeta. Svi su morali da pređu na 2.15 što je pre moguće – dok se 2.15 takođe nije pokazalo ranjivim.
Određene konfiguracije biblioteke ostale su moguće u verziji 2.15. Korištenje ovih konfiguracija produžilo je ranjivost. Verzija 2.16 je onemogućila konfiguracije, garantujući novu zakrpu. Često na žalost već prezaposlenih IT timova. Međutim, uvek može biti gore, jer 2.16 takođe ima neku bolest.
Nazad na početak
Ogromna globalna pažnja na problem podstakla je masovnu istragu širom svijeta. Apache, programer biblioteke, ne može doći do daha dva dana, a da kompanija za obezbeđenje ne ukaže na novi, hitan problem.
Ukratko, ispostavilo se da je moguće pokrenuti desetine verzija log4j – uključujući 2.16 – sa jednom linijom (stringom) za pokretanje vječne petlje koja ruši aplikaciju. Uslovi koje okruženje mora ispuniti da bi bilo zloupotrijebljeno su opsežni. Toliko opsežna da je praktična ozbiljnost problema sporna. Zakrpa se službeno preporučuje, ali nisu svi uvjereni.
Opet, nije svaka instanca Log4j ranjiva, već samo slučajevi kada biblioteka radi na prilagođenim postavkama. Potencijalnom napadaču je također potreban detaljan uvid u to kako Log4j funkcionira. Kontrast prema početnoj, lako dostupnoj ranjivosti.