Dopad nechvalně známé zranitelnosti v knihovně Java Log4j se vleče. Ačkoli největší problém byl vyřešen urgentním patchem 2.16, zdá se, že i tato verze je náchylná ke zneužití. Bezpečnostní výzkumníci našli vchod pro útoky DoS (Denial of Service). Log4j 2.17 byl publikován, aby byl záznam uzavřen.
Apache, vývojář knihovny Java, radí organizacím, aby použily nouzovou opravu. Tato rada platí už potřetí od té doby, co byla knihovna shledána zranitelnou.
Před týdnem a půl bezpečnostní výzkumníci z Alibaby cloud bezpečnostní tým odhalil metodu zneužití aplikací pomocí Log4j. Log4j se používá v aplikacích k protokolování událostí. Ukázalo se, že je možné přistupovat k aplikacím s knihovnou zvenčí s pokyny pro spouštění malwaru. Zneužívání trvá o něco déle než jeden okamžik. Přidejte k tomu odhadovaný výskyt knihovny ve většině podnikových prostředí a pochopíte rozsah katastrofy, které čelí globální IT prostředí.
Softwaroví vývojáři jako Fortinet, Cisco, IBM a desítky dalších využívají knihovnu ve svém softwaru. Jejich vývojáři pracovali přesčas o víkendu 11. prosince, aby zpracovali první nouzovou opravu zranitelnosti a dodali ji organizacím uživatelů. Přesně stejný posun se očekával od IT týmů v těchto organizacích. Po celém světě došlo ke stovkám tisíc pokusů o útok. Všichni museli co nejdříve přejít na 2.15:2.15 – dokud se XNUMX:XNUMX také ukázalo jako zranitelné.
Určité konfigurace knihovny zůstaly možné i ve verzi 2.15. Použitím těchto konfigurací byla zranitelnost zachována. Verze 2.16 znemožnila konfigurace a zaručila nový patch. Často ke zlosti již tak přetížených IT týmů. Vždy však může být hůř, protože 2.16 má také neduh.
Zpět na začátek
Masivní celosvětová pozornost tomuto problému podnítila rozsáhlé celosvětové vyšetřování. Apache, vývojář knihovny, nemůže dva dny popadnout dech, aniž by bezpečnostní společnost upozornila na nový naléhavý problém.
Stručně řečeno, ukázalo se, že je možné spouštět desítky verzí log4j – včetně 2.16 – s jedním řádkem (řetězcem), aby se spustila věčná smyčka, která zhroutí aplikaci. Podmínky, které musí prostředí splňovat, aby mohlo být zneužito, jsou rozsáhlé. Tak rozsáhlé, že praktická závažnost problému je sporná. Patch je oficiálně doporučen, ale ne každý je přesvědčen.
Opět, ne každá instance Log4j je zranitelná, ale pouze případy, kdy knihovna běží s vlastním nastavením. Potenciální útočník také potřebuje podrobný přehled o tom, jak Log4j funguje. Kontrast k počáteční, snadno dostupné zranitelnosti.