Log4j 2.16 alttiina DoS-hyökkäyksille, kiireellinen korjaustiedosto 2.17 suositeltavaa

Java-kirjaston Log4j surullisen haavoittuvuuden vaikutus jatkuu. Vaikka suurin ongelma ratkaistiin kiireellisellä korjaustiedostolla 2.16, myös tämä versio näyttää olevan altis väärinkäytöksille. Tietoturvatutkijat löysivät sisäänkäynnin palvelunestohyökkäyksille (DoS). Log4j 2.17 on julkaistu merkinnän sulkemiseksi.

Apache, Java-kirjaston kehittäjä, neuvoo organisaatioita asentamaan hätäkorjauksen. Tämä neuvo pätee kolmatta kertaa sen jälkeen, kun kirjasto todettiin haavoittuvaksi.

Puolitoista viikkoa sitten turvallisuustutkijat Alibabasta cloud tietoturvatiimi paljasti menetelmän käyttää väärin sovelluksia Log4j:n kanssa. Log4j:tä käytetään sovelluksissa tapahtumien kirjaamiseen. Kävi ilmi, että kirjaston sisältämiin sovelluksiin voi päästä ulkopuolelta ohjeiden avulla haittaohjelmien suorittamiseen. Väärinkäyttö vie vain hetken. Kun tähän lisätään kirjaston arvioitu esiintyminen useimmissa yritysympäristöissä, ymmärrät maailmanlaajuisen IT-ympäristön kohtaaman katastrofin laajuuden.

Ohjelmistokehittäjät, kuten Fortinet, Cisco, IBM ja kymmenet muut, käyttävät kirjastoa ohjelmistoissaan. Niiden kehittäjät tekivät ylitöitä viikonloppuna 11. joulukuuta käsitelläkseen ensimmäisen haavoittuvuuden hätäkorjauksen ja toimittaakseen sen käyttäjäorganisaatioille. Täsmälleen samaa ajelehtia odotettiin näiden organisaatioiden IT-tiimeiltä. Maailmanlaajuisesti tehtiin satoja tuhansia hyökkäysyrityksiä. Kaikkien oli vaihdettava 2.15:een mahdollisimman pian – kunnes myös 2.15 havaittiin haavoittuvaksi.

Tietyt kirjaston kokoonpanot olivat mahdollisia versiossa 2.15. Näiden kokoonpanojen käyttäminen säilytti haavoittuvuuden. Versio 2.16 teki määritykset mahdottomaksi ja takasi uuden korjaustiedoston. Usein jo ylikuormitettujen IT-tiimien harmiksi. Aina voi kuitenkin olla huonomminkin, koska myös 2.16:lla on sairaus.

Takaisin alkuun

Massiivinen globaali huomio ongelmaan sai aikaan massiivisen maailmanlaajuisen tutkimuksen. Apache, kirjaston kehittäjä, ei näytä saavan henkeään kahteen päivään ilman, että turvallisuusyritys huomauttaa uudesta, kiireellisestä ongelmasta.

Lyhyesti sanottuna käy ilmi, että on mahdollista ajaa kymmeniä log4j-versioita – mukaan lukien 2.16 – yhdellä rivillä (merkkijono) ikuisen silmukan käynnistämiseksi, joka kaataa sovelluksen. Edellytykset, jotka ympäristön on täytettävä voidakseen joutua väärinkäyttöön, ovat laajat. Niin laaja, että ongelman käytännön vakavuus on kiistanalainen. Laastaria suositellaan virallisesti, mutta kaikki eivät ole vakuuttuneita.

Jälleen, kaikki Log4j:n esiintymät eivät ole haavoittuvia, vaan vain tapaukset, joissa kirjasto toimii mukautetuilla asetuksilla. Mahdollinen hyökkääjä tarvitsee myös yksityiskohtaisen käsityksen Log4j:n toiminnasta. Vastakohta alkuperäiselle, helposti saatavilla olevalle haavoittuvuudelle.