Log4j 2.16 פגיע להתקפות DoS, מומלץ תיקון דחוף 2.17

ההשפעה של הפגיעות הידועה לשמצה בספריית Java Log4j נמשכת. למרות שהבעיה הגדולה ביותר נפתרה עם תיקון דחוף 2.16, נראה שגם גרסה זו חשופה לשימוש לרעה. חוקרי אבטחה מצאו כניסה להתקפות מניעת שירות (DoS). Log4j 2.17 פורסם כדי לסגור את הערך.

Apache, מפתח ספריית Java, מייעץ לארגונים להחיל את תיקון החירום. העצה הזו חלה בפעם השלישית מאז נמצא שהספרייה פגיעה.

לפני שבוע וחצי, חוקרי אבטחה של עליבאבא cloud צוות האבטחה חשף שיטה לשימוש לרעה ביישומים עם Log4j. Log4j משמש ביישומים לרישום אירועים. התברר שניתן לגשת לאפליקציות עם הספרייה מבחוץ עם הוראות להפעלת תוכנות זדוניות. התעללות לוקחת מעט יותר מרגע. הוסיפו לכך את ההתרחשות המשוערת של הספרייה ברוב הסביבות הארגוניות ותבינו את היקף האסון העומד בפני נוף ה-IT העולמי.

מפתחי תוכנה כמו Fortinet, Cisco, IBM ועשרות אחרים משתמשים בספרייה בתוכנה שלהם. המפתחים שלהם עבדו שעות נוספות במהלך סוף השבוע ה-11 בדצמבר כדי לעבד את תיקון החירום הראשון עבור הפגיעות ולמסור אותו לארגוני משתמשים. בדיוק אותו סחף היה צפוי מצוותי ה-IT בתוך הארגונים הללו. מאות אלפי ניסיונות תקיפה התרחשו ברחבי העולם. כולם היו צריכים לעבור ל-2.15 בהקדם האפשרי - עד ש-2.15 נמצא גם הוא פגיע.

תצורות מסוימות של הספרייה נותרו אפשריות בגרסה 2.15. השימוש בתצורות אלה הנציח את הפגיעות. גרסה 2.16 הפכה את התצורות לבלתי אפשרית, והבטיחה תיקון חדש. לעתים קרובות לצערם של צוותי IT שכבר עמוסים יותר מדי. עם זאת, זה תמיד יכול להיות גרוע יותר, כי 2.16 יש גם מחלה.

בחזרה להתחלה

תשומת הלב העולמית האדירה לבעיה עוררה חקירה עולמית מסיבית. אפאצ'י, מפתח הספרייה, לא מצליח להסדיר את נשימתו במשך יומיים מבלי שחברת אבטחה תצביע על בעיה חדשה ודחופה.

בקיצור, מסתבר שאפשר להריץ עשרות גרסאות של log4j – כולל 2.16 – עם שורה אחת (מחרוזת) כדי להתחיל לולאה נצחית שקורסת את האפליקציה. התנאים שסביבה צריכה לעמוד בהם כדי להתעלל בה הם נרחבים. כה נרחב עד כי חומרתה המעשית של הבעיה שנויה במחלוקת. התיקון מומלץ רשמית, אבל לא כולם השתכנעו.

שוב, לא כל מופע של Log4j פגיע, אלא רק מקרים שבהם הספרייה פועלת על הגדרות מותאמות אישית. תוקף פוטנציאלי צריך גם תובנה מפורטת לגבי אופן הפעולה של Log4j. ניגוד לפגיעות הראשונית, הנגישה בקלות.