Java teegi Log4j kurikuulsa haavatavuse mõju venib. Kuigi suurim probleem lahendati kiireloomulise paiga 2.16 abil, näib see versioon olevat ka kuritarvitamise suhtes vastuvõtlik. Turvauurijad leidsid sissepääsu teenuse keelamise (DoS) rünnakute jaoks. Kirje sulgemiseks on avaldatud Log4j 2.17.
Java teegi arendaja Apache soovitab organisatsioonidel hädaabiplaastrit rakendada. See nõuanne kehtib kolmandat korda pärast seda, kui raamatukogu leiti olevat haavatav.
Poolteist nädalat tagasi Alibaba turvauurijad cloud turvameeskond paljastas meetodi rakenduste kuritarvitamiseks Log4j-ga. Log4j kasutatakse rakendustes sündmuste logimiseks. Selgus, et teegiga rakendustele on võimalik väljastpoolt ligi pääseda koos juhistega pahavara käivitamiseks. Kuritarvitamine võtab veidi rohkem kui hetke. Lisage sellele teegi hinnanguline esinemissagedus enamikus ettevõtete keskkondades ja saate aru, kui suur on globaalset IT-maastikku ähvardav katastroof.
Tarkvaraarendajad nagu Fortinet, Cisco, IBM ja kümned teised kasutavad raamatukogu oma tarkvaras. Nende arendajad tegid nädalavahetusel, 11. detsembril ületunde, et töödelda haavatavuse jaoks esimest hädaparandust ja edastada see kasutajaorganisatsioonidele. Täpselt samasugust triivi oodati ka nende organisatsioonide IT-meeskondadelt. Kogu maailmas toimus sadu tuhandeid rünnakukatseid. Kõik pidid esimesel võimalusel üle minema 2.15-le – kuni 2.15 leiti samuti olevat haavatav.
Teatud teegi konfiguratsioonid jäid versioonis 2.15 võimalikuks. Nende konfiguratsioonide kasutamine säilitas haavatavuse. Versioon 2.16 muutis konfiguratsioonid võimatuks, tagades uue plaastri. Sageli niigi ületöötanud IT-meeskondade meelehärmiks. Alati võib aga hullemini minna, sest 2.16-l on ka vaev.
Tagasi alustamiseks
Ülemaailmne tohutu tähelepanu probleemile kutsus esile ulatusliku ülemaailmse uurimise. Paistab, et raamatukogu arendaja Apache ei saa kaks päeva hinge tõmmata, ilma et turvafirma oleks osutanud uuele pakilisele probleemile.
Lühidalt tuleb välja, et ühe reaga (stringiga) on võimalik käivitada kümneid log4j versioone – sealhulgas 2.16 –, et käivitada igavene tsükkel, mis rakenduse kokku jookseb. Tingimused, millele keskkond peab vastama, et seda kuritarvitada, on ulatuslikud. Nii ulatuslik, et probleemi praktiline tõsidus on vaieldav. Plaaster on ametlikult soovitatav, kuid mitte kõik pole selles veendunud.
Jällegi, mitte iga Log4j eksemplar pole haavatav, vaid ainult juhtudel, kui teek töötab kohandatud sätetega. Potentsiaalne ründaja vajab ka üksikasjalikku ülevaadet Log4j toimimisest. Kontrast algsele kergesti ligipääsetavale haavatavusele.