Java գրադարանի Log4j-ի տխրահռչակ խոցելիության ազդեցությունը ձգձգվում է: Չնայած ամենամեծ խնդիրը լուծվել է հրատապ կարկատել 2.16-ով, սակայն այս տարբերակը նույնպես ենթակա է չարաշահումների: Անվտանգության հետազոտողները մուտք են գտել Denial of Service (DoS) հարձակումների համար: Log4j 2.17-ը հրապարակվել է մուտքը փակելու համար:
Java գրադարանի մշակող Apache-ն կազմակերպություններին խորհուրդ է տալիս կիրառել արտակարգ իրավիճակների կարկատելը: Այդ խորհուրդը կիրառվում է արդեն երրորդ անգամ, քանի որ գրադարանը խոցելի է ճանաչվել:
Մեկուկես շաբաթ առաջ Alibaba-ի անվտանգության հետազոտողները cloud Անվտանգության թիմը հայտնաբերել է Log4j հավելվածների չարաշահման մեթոդ: Log4j-ն օգտագործվում է հավելվածներում՝ իրադարձությունները գրանցելու համար: Պարզվեց, որ գրադարանով հավելվածներ հնարավոր է մուտք գործել դրսից՝ չարամիտ ծրագրեր գործարկելու հրահանգներով։ Չարաշահումը պահանջում է մի փոքր ավելին, քան մեկ ակնթարթ: Դրան գումարեք գրադարանի գնահատված դեպքերը կորպորատիվ միջավայրերում, և դուք կհասկանաք համաշխարհային ՏՏ լանդշաֆտի առջև ծառացած աղետի մասշտաբը:
Ծրագրային ապահովման մշակողները, ինչպիսիք են Fortinet-ը, Cisco-ն, IBM-ը և տասնյակ ուրիշներ, օգտագործում են գրադարանը իրենց ծրագրային ապահովման մեջ: Նրանց ծրագրավորողները հանգստյան օրերին՝ դեկտեմբերի 11-ին, արտաժամյա աշխատեցին՝ մշակելու խոցելիության համար առաջին վթարային թարմացումը և այն օգտատերերի կազմակերպություններին առաքելու համար: Ճիշտ նույն շեղումը սպասվում էր այս կազմակերպությունների ՏՏ թիմերից։ Ամբողջ աշխարհում տեղի են ունեցել հարյուր հազարավոր հարձակման փորձեր։ Բոլորը պետք է հնարավորինս շուտ անցնեին 2.15-ին, մինչև որ 2.15-ը նույնպես խոցելի էր:
Գրադարանի որոշ կոնֆիգուրացիաներ հնարավոր մնացին 2.15 տարբերակում: Այս կոնֆիգուրացիաների օգտագործումը հավերժացրեց խոցելիությունը: 2.16 տարբերակը անհնարին դարձրեց կոնֆիգուրացիաները՝ երաշխավորելով նոր կարկատելը: Հաճախ ի բարկություն արդեն իսկ ծանրաբեռնված ՏՏ թիմերի: Այնուամենայնիվ, դա միշտ կարող է ավելի վատ լինել, քանի որ 2.16-ը նույնպես հիվանդություն ունի։
Վերադառնալ սկզբին
Խնդրի նկատմամբ գլոբալ մեծ ուշադրությունը դրդեց լայնածավալ համաշխարհային հետաքննության: Գրադարանի մշակող Apache-ն, կարծես, չի կարողանում շունչ քաշել երկու օր առանց անվտանգության ընկերության կողմից նոր, հրատապ խնդիր մատնանշելու:
Մի խոսքով, պարզվում է, որ հնարավոր է մեկ տողով (տողով) գործարկել log4j-ի տասնյակ տարբերակներ, այդ թվում՝ 2.16-ը՝ հավելվածը խափանող հավերժական հանգույց սկսելու համար: Պայմանները, որոնց պետք է համապատասխանի միջավայրը, որպեսզի չարաշահվի, ընդարձակ են: Այնքան ծավալուն, որ վիճարկվում է խնդրի գործնական լրջությունը։ Կարկատելը պաշտոնապես խորհուրդ է տրվում, բայց ոչ բոլորն են համոզված։
Կրկին, Log4j-ի ոչ բոլոր օրինակներն են խոցելի, այլ միայն այն դեպքերում, երբ գրադարանն աշխատում է հատուկ կարգավորումներով: Պոտենցիալ հարձակվողին անհրաժեշտ է նաև մանրամասն պատկերացում, թե ինչպես է աշխատում Log4j-ը: Հակադրություն նախնական, հեշտությամբ հասանելի խոցելիությանը: