JavaライブラリLog4jの悪名高い脆弱性の影響は長続きします。 最大の問題は緊急パッチ2.16で解決されましたが、このバージョンも悪用されやすいようです。 セキュリティ研究者は、サービス拒否(DoS)攻撃の入り口を見つけました。 Log4j 2.17が公開され、エントリが閉じられました。
Javaライブラリの開発者であるApacheは、緊急パッチを適用するように組織にアドバイスしています。 ライブラリが脆弱であることが判明して以来、このアドバイスはXNUMX回目に適用されます。
XNUMX週間半前、Alibabaのセキュリティ研究者 cloud セキュリティチームは、Log4jでアプリケーションを悪用する方法を明らかにしました。 Log4jは、アプリケーションでイベントをログに記録するために使用されます。 マルウェアの実行手順を使用して、外部からライブラリを使用してアプリケーションにアクセスできることが判明しました。 虐待はほんの一瞬です。 これに加えて、ほとんどの企業環境でのライブラリの推定発生率を理解すると、グローバルなIT環境が直面している災害の規模を理解できます。
フォーティネット、シスコ、IBMなどのソフトウェア開発者は、ソフトウェアでライブラリを使用しています。 彼らの開発者は、11月2.15日の週末に残業して、脆弱性の最初の緊急パッチを処理し、それをユーザー組織に配信しました。 これらの組織内のITチームからもまったく同じドリフトが予想されました。 世界中で数十万回の攻撃が試みられました。 2.15も脆弱であることが判明するまで、全員ができるだけ早くXNUMXに切り替える必要がありました。
ライブラリの特定の構成は、バージョン2.15でも引き続き可能でした。 これらの構成を使用すると、脆弱性が永続しました。 バージョン2.16では構成が不可能になり、新しいパッチが保証されました。 多くの場合、すでに過労しているITチームの悔しさを感じます。 ただし、2.16にも病気があるため、常に悪化する可能性があります。
はじめに戻る
問題への大規模な世界的な注目は、大規模な世界的な調査を促しました。 ライブラリの開発者であるApacheは、警備会社が新たな差し迫った問題を指摘しない限り、XNUMX日間息を呑むようには見えません。
つまり、4を含む数十のバージョンのlog2.16jをXNUMX行(文字列)で実行して、アプリケーションをクラッシュさせる永遠のループを開始することが可能であることがわかります。 悪用されるために環境が満たさなければならない条件は広範囲です。 非常に広範囲にわたるため、問題の実際的な深刻さについては異議が唱えられています。 パッチは公式に推奨されていますが、誰もが納得しているわけではありません。
繰り返しますが、Log4jのすべてのインスタンスが脆弱であるわけではありませんが、ライブラリがカスタム設定で実行されている場合のみです。 潜在的な攻撃者は、Log4jがどのように機能するかについての詳細な洞察も必要です。 初期の簡単にアクセスできる脆弱性とは対照的です。