Ο αντίκτυπος της περιβόητης ευπάθειας στη βιβλιοθήκη Java Log4j παρατείνεται. Αν και το μεγαλύτερο πρόβλημα επιλύθηκε με την επείγουσα ενημέρωση κώδικα 2.16, αυτή η έκδοση φαίνεται επίσης να είναι επιρρεπής σε κατάχρηση. Οι ερευνητές ασφαλείας βρήκαν μια είσοδο για επιθέσεις Denial of Service (DoS). Το Log4j 2.17 έχει δημοσιευτεί για να κλείσει η καταχώρηση.
Ο Apache, προγραμματιστής της βιβλιοθήκης Java, συμβουλεύει τους οργανισμούς να εφαρμόσουν την ενημέρωση κώδικα έκτακτης ανάγκης. Αυτή η συμβουλή ισχύει για τρίτη φορά αφού η βιβλιοθήκη βρέθηκε ευάλωτη.
Πριν από μιάμιση εβδομάδα, ερευνητές ασφαλείας από το Alibaba's cloud Η ομάδα ασφαλείας αποκάλυψε μια μέθοδο κατάχρησης εφαρμογών με το Log4j. Το Log4j χρησιμοποιείται σε εφαρμογές για την καταγραφή συμβάντων. Αποδείχθηκε ότι ήταν δυνατή η πρόσβαση σε εφαρμογές με τη βιβλιοθήκη από έξω με οδηγίες για την εκτέλεση κακόβουλου λογισμικού. Η κατάχρηση απαιτεί κάτι περισσότερο από ένα στιγμιότυπο. Προσθέστε σε αυτό την εκτιμώμενη εμφάνιση της βιβλιοθήκης στα περισσότερα εταιρικά περιβάλλοντα και θα καταλάβετε το μέγεθος της καταστροφής που αντιμετωπίζει το παγκόσμιο τοπίο πληροφορικής.
Οι προγραμματιστές λογισμικού όπως η Fortinet, η Cisco, η IBM και δεκάδες άλλοι χρησιμοποιούν τη βιβλιοθήκη στο λογισμικό τους. Οι προγραμματιστές τους εργάστηκαν υπερωρίες το Σαββατοκύριακο 11 Δεκεμβρίου για να επεξεργαστούν την πρώτη ενημέρωση κώδικα έκτακτης ανάγκης για την ευπάθεια και να την παραδώσουν σε οργανισμούς χρηστών. Ακριβώς η ίδια μετατόπιση αναμενόταν από τις ομάδες πληροφορικής εντός αυτών των οργανισμών. Εκατοντάδες χιλιάδες απόπειρες επίθεσης πραγματοποιήθηκαν σε όλο τον κόσμο. Όλοι έπρεπε να αλλάξουν στο 2.15 το συντομότερο δυνατό – έως ότου το 2.15 βρέθηκε επίσης ευάλωτο.
Ορισμένες διαμορφώσεις της βιβλιοθήκης παρέμειναν δυνατές στην έκδοση 2.15. Η χρήση αυτών των διαμορφώσεων διαιώνισε την ευπάθεια. Η έκδοση 2.16 κατέστησε τις διαμορφώσεις αδύνατες, εγγυώντας μια νέα ενημέρωση κώδικα. Συχνά προς λύπη των ήδη καταπονημένων ομάδων πληροφορικής. Ωστόσο, μπορεί πάντα να είναι χειρότερο, γιατί το 2.16 έχει και μια πάθηση.
Επιστροφή στην αρχή
Η τεράστια παγκόσμια προσοχή στο πρόβλημα προκάλεσε μαζική παγκόσμια έρευνα. Ο Apache, ο προγραμματιστής της βιβλιοθήκης, φαίνεται ότι δεν μπορεί να πάρει την ανάσα του για δύο ημέρες χωρίς μια εταιρεία ασφαλείας να επισημάνει ένα νέο, πιεστικό πρόβλημα.
Εν ολίγοις, αποδεικνύεται ότι είναι δυνατό να τρέξετε δεκάδες εκδόσεις του log4j – συμπεριλαμβανομένης της 2.16 – με μία γραμμή (string) για να ξεκινήσετε έναν αιώνιο βρόχο που διακόπτει την εφαρμογή. Οι προϋποθέσεις που πρέπει να πληροί ένα περιβάλλον για να γίνει κατάχρηση είναι εκτεταμένες. Τόσο εκτεταμένο που αμφισβητείται η πρακτική σοβαρότητα του προβλήματος. Το patch συνιστάται επίσημα, αλλά δεν είναι όλοι πεπεισμένοι.
Και πάλι, δεν είναι όλες οι εμφανίσεις του Log4j ευάλωτες, αλλά μόνο οι περιπτώσεις όπου η βιβλιοθήκη εκτελείται με προσαρμοσμένες ρυθμίσεις. Ένας πιθανός εισβολέας χρειάζεται επίσης λεπτομερή εικόνα του τρόπου λειτουργίας του Log4j. Μια αντίθεση με την αρχική, εύκολα προσβάσιμη ευπάθεια.