Virkningen af den berygtede sårbarhed i Java-biblioteket Log4j trækker ud. Selvom det største problem blev løst med presserende patch 2.16, ser denne version også ud til at være modtagelig for misbrug. Sikkerhedsforskere fandt en indgang til Denial of Service (DoS)-angreb. Log4j 2.17 er blevet offentliggjort for at lukke posten.
Apache, udvikler af Java-biblioteket, råder organisationer til at anvende nødpatchen. Det råd gælder for tredje gang, siden biblioteket blev fundet at være sårbart.
For halvanden uge siden, sikkerhedsforskere fra Alibaba's cloud sikkerhedsteam afslørede en metode til at misbruge applikationer med Log4j. Log4j bruges i applikationer til at logge hændelser. Det viste sig at være muligt at tilgå applikationer med biblioteket udefra med instruktioner til udførelse af malware. Misbrug tager lidt mere end et øjeblik. Læg dertil den anslåede forekomst af biblioteket i de fleste virksomhedsmiljøer, og du forstår omfanget af den katastrofe, som det globale it-landskab står over for.
Softwareudviklere som Fortinet, Cisco, IBM og snesevis af andre bruger biblioteket i deres software. Deres udviklere arbejdede på overarbejde i weekenden den 11. december for at behandle den første nødpatch for sårbarheden og levere den til brugerorganisationer. Præcis den samme drift forventedes fra IT-teamene i disse organisationer. Hundredtusindvis af angrebsforsøg fandt sted verden over. Alle skulle hurtigst muligt skifte til 2.15 – indtil 2.15 også viste sig at være sårbare.
Visse konfigurationer af biblioteket forblev mulige i version 2.15. Brug af disse konfigurationer fastholdt sårbarheden. Version 2.16 gjorde konfigurationerne umulige, hvilket garanterede en ny patch. Ofte til ærgrelse af allerede overanstrengte it-teams. Det kan dog altid være værre, for 2.16 har også en lidelse.
Tilbage til start
Den massive globale opmærksomhed på problemet foranledigede massiv verdensomspændende undersøgelse. Apache, udvikler af biblioteket, kan tilsyneladende ikke få vejret i to dage, uden at et sikkerhedsfirma peger på et nyt, presserende problem.
Kort sagt viser det sig, at det er muligt at køre snesevis af versioner af log4j – inklusive 2.16 – med én linje (streng) for at starte en evig løkke, der crasher applikationen. De betingelser, som et miljø skal opfylde for at blive misbrugt, er omfattende. Så omfattende, at problemets praktiske alvor er bestridt. Plastret anbefales officielt, men ikke alle er overbeviste.
Igen, ikke alle forekomster af Log4j er sårbare, men kun tilfælde, hvor biblioteket kører på brugerdefinerede indstillinger. En potentiel angriber har også brug for detaljeret indsigt i, hvordan Log4j fungerer. En kontrast til den oprindelige, lettilgængelige sårbarhed.