L'impacte de la infame vulnerabilitat de la biblioteca de Java Log4j s'allarga. Tot i que el problema més gran es va resoldre amb el pedaç urgent 2.16, aquesta versió també sembla susceptible d'abús. Els investigadors de seguretat van trobar una entrada per als atacs de denegació de servei (DoS). S'ha publicat Log4j 2.17 per tancar l'entrada.
Apache, desenvolupador de la biblioteca Java, aconsella a les organitzacions que apliquen el pegat d'emergència. Aquest consell s'aplica per tercera vegada des que es va trobar que la biblioteca era vulnerable.
Fa una setmana i mitja, investigadors de seguretat d'Alibaba cloud L'equip de seguretat va revelar un mètode per abusar de les aplicacions amb Log4j. Log4j s'utilitza en aplicacions per registrar esdeveniments. Va resultar possible accedir a aplicacions amb la biblioteca des de fora amb instruccions per executar programari maliciós. L'abús triga poc més que un instant. Afegiu-hi l'ocurrència estimada de la biblioteca a la majoria d'entorns corporatius i entendreu l'escala del desastre que s'enfronta al panorama informàtic global.
Desenvolupadors de programari com Fortinet, Cisco, IBM i desenes d'altres utilitzen la biblioteca al seu programari. Els seus desenvolupadors van treballar hores extraordinàries el cap de setmana de l'11 de desembre per processar el primer pegat d'emergència per a la vulnerabilitat i lliurar-lo a les organitzacions d'usuaris. S'esperava exactament la mateixa deriva dels equips informàtics d'aquestes organitzacions. Centenars de milers d'intents d'atac van tenir lloc a tot el món. Tothom va haver de canviar a 2.15 el més aviat possible, fins que també es va trobar que la 2.15 era vulnerable.
Algunes configuracions de la biblioteca van continuar sent possibles a la versió 2.15. L'ús d'aquestes configuracions va perpetuar la vulnerabilitat. La versió 2.16 va fer impossible les configuracions, garantint un nou pedaç. Sovint, per disgust dels equips informàtics ja sobrecarregats. Tanmateix, sempre pot ser pitjor, perquè el 2.16 també té una malaltia.
Tornar a començar
L'atenció global massiva al problema va provocar una investigació massiva a tot el món. Apache, desenvolupador de la biblioteca, sembla que no pot recuperar l'alè durant dos dies sense que una empresa de seguretat indiqui un problema nou i urgent.
En resum, resulta que és possible executar desenes de versions de log4j, inclosa la 2.16, amb una línia (cadena) per iniciar un bucle etern que bloqueja l'aplicació. Les condicions que ha de reunir un entorn per ser abusat són àmplies. Tan extens que es discuteix la gravetat pràctica del problema. El pegat es recomana oficialment, però no tothom està convençut.
De nou, no totes les instàncies de Log4j són vulnerables, sinó només els casos en què la biblioteca s'executa amb una configuració personalitzada. Un atacant potencial també necessita una visió detallada de com funciona Log4j. Un contrast amb la vulnerabilitat inicial, de fàcil accés.