Log4j Java кітапханасындағы атақты осалдықтың әсері ұзаққа созылады. Ең үлкен мәселе жедел патч 2.16 арқылы шешілгенімен, бұл нұсқа да теріс пайдалануға бейім сияқты. Қауіпсіздік зерттеушілері Қызмет көрсетуден бас тарту (DoS) шабуылдарына кіруді тапты. Log4j 2.17 жазбаны жабу үшін жарияланды.
Apache, Java кітапханасының әзірлеушісі ұйымдарға төтенше жағдай патчын қолдануға кеңес береді. Бұл кеңес кітапхана осал деп танылғалы үшінші рет қолданылады.
Бір жарым апта бұрын Alibaba компаниясының қауіпсіздік зерттеушілері cloud қауіпсіздік тобы Log4j көмегімен қолданбаларды теріс пайдалану әдісін ашты. Log4j оқиғаларды тіркеу үшін қолданбаларда пайдаланылады. Зиянды бағдарламалық жасақтаманы орындау нұсқаулары бар қосымшаларға кітапханамен сырттан қол жеткізу мүмкін болды. Қиянат бір сәтке ғана емес. Оған көптеген корпоративтік орталардағы кітапхананың болжамды пайда болуын қосыңыз және сіз жаһандық АТ-ландшафтқа тап болған апаттың ауқымын түсінесіз.
Fortinet, Cisco, IBM және басқа ондаған бағдарламалық жасақтаманы әзірлеушілер өздерінің бағдарламалық жасақтамасында кітапхананы пайдаланады. Олардың әзірлеушілері 11 желтоқсандағы демалыс күндері осалдыққа арналған бірінші төтенше жағдай патчын өңдеу және оны пайдаланушы ұйымдарға жеткізу үшін артық жұмыс істеді. Дәл осындай дрейф осы ұйымдардағы IT командаларынан күтілді. Дүние жүзінде жүздеген мың шабуыл әрекеті орын алды. Барлығына мүмкіндігінше тезірек 2.15-ке ауысу керек болды - 2.15-ке дейін осал деп табылды.
Кітапхананың кейбір конфигурациялары 2.15 нұсқасында мүмкін болды. Бұл конфигурацияларды пайдалану осалдықты жалғастырды. 2.16 нұсқасы конфигурацияларды мүмкін емес етіп, жаңа патчқа кепілдік берді. Көбінесе шамадан тыс жұмыс істейтін IT-командалардың қайғысына әкеледі. Дегенмен, бұл әрқашан нашар болуы мүмкін, өйткені 2.16-да да ауру бар.
Бастау үшін оралу
Мәселеге жаһандық назар аудару дүниежүзілік ауқымды зерттеуге түрткі болды. Apache, кітапхананың әзірлеушісі, қауіпсіздік компаниясы жаңа, өзекті мәселені көрсетпесе, екі күн бойы тыныстай алмайтын сияқты.
Бір сөзбен айтқанда, қолданбаны бұзатын мәңгілік циклды бастау үшін log4j бағдарламасының ондаған нұсқасын, соның ішінде 2.16 нұсқасын бір жолмен (жолмен) іске қосуға болатыны белгілі болды. Қоршаған ортаның теріс пайдалануы үшін талаптары кең. Мәселенің практикалық маңыздылығы дау туғызатыны сонша. Патч ресми түрде ұсынылады, бірақ бәрі де сенімді емес.
Қайтадан, Log4j бағдарламасының әрбір данасы осал емес, бірақ кітапхана реттелетін параметрлерде жұмыс істейтін жағдайлар ғана. Потенциалды шабуылдаушыға Log4j қалай жұмыс істейтіні туралы егжей-тегжейлі түсінік қажет. Бастапқы, оңай қол жетімді осалдыққа қарама-қайшы.