Liūdnai pagarsėjusio Java bibliotekos Log4j pažeidžiamumo poveikis tęsiasi. Nors didžiausia problema buvo išspręsta naudojant skubų pataisą 2.16, ši versija taip pat gali būti piktnaudžiaujama. Saugumo tyrinėtojai rado įėjimą į paslaugų atsisakymo (DoS) atakas. Log4j 2.17 buvo paskelbtas siekiant uždaryti įrašą.
„Apache“, „Java“ bibliotekos kūrėja, pataria organizacijoms pritaikyti avarinį pataisą. Šis patarimas taikomas trečią kartą nuo tada, kai buvo nustatyta, kad biblioteka yra pažeidžiama.
Prieš pusantros savaitės saugumo tyrinėtojai iš Alibaba cloud saugos komanda atskleidė būdą, kaip piktnaudžiauti programomis su Log4j. Log4j naudojamas programose įvykiams registruoti. Paaiškėjo, kad programas su biblioteka galima pasiekti iš išorės su kenkėjiškų programų vykdymo instrukcijomis. Piktnaudžiavimas trunka šiek tiek daugiau nei akimirksniu. Pridėkite prie to numatomą bibliotekos atsiradimą daugumoje įmonių aplinkų ir suprasite pasaulinės IT aplinkos nelaimės mastą.
Programinės įrangos kūrėjai, tokie kaip Fortinet, Cisco, IBM ir dešimtys kitų, naudoja biblioteką savo programinėje įrangoje. Jų kūrėjai savaitgalį, gruodžio 11 d., dirbo viršvalandžius, kad apdorotų pirmąjį avarinį pažeidžiamumo pataisą ir pateiktų jį vartotojų organizacijoms. Lygiai tokio paties dreifo buvo tikimasi ir iš šių organizacijų IT komandų. Pasaulyje įvyko šimtai tūkstančių atakų bandymų. Visi turėjo kuo greičiau pereiti prie 2.15 – kol 2.15 taip pat buvo pripažintas pažeidžiamu.
2.15 versijoje išliko galimos tam tikros bibliotekos konfigūracijos. Naudojant šias konfigūracijas pažeidžiamumas išliko. Dėl 2.16 versijos konfigūracijos tapo neįmanomos, todėl buvo garantuotas naujas pataisas. Dažnai ir taip pervargusių IT komandų apmaudu. Tačiau visada gali būti blogiau, nes 2.16 taip pat turi negalavimą.
Grįžti į pradžią
Didžiulis pasaulinis dėmesys problemai paskatino masinį pasaulinį tyrimą. Bibliotekos kūrėjas „Apache“ dvi dienas negali atgauti kvapo, kai apsaugos įmonė nenurodė naujos, aktualios problemos.
Trumpai tariant, paaiškėja, kad galima paleisti dešimtis log4j versijų, įskaitant 2.16, su viena eilute (eilu), kad būtų pradėtas amžinas ciklas, dėl kurio programa sugenda. Sąlygos, kurias turi atitikti aplinka, kad ja būtų piktnaudžiaujama, yra daugybė. Toks platus, kad ginčijamasi dėl praktinio problemos rimtumo. Pleistras yra oficialiai rekomenduojamas, tačiau ne visi yra įsitikinę.
Vėlgi, ne kiekvienas Log4j egzempliorius yra pažeidžiamas, bet tik tais atvejais, kai biblioteka veikia pagal pasirinktinius nustatymus. Potencialiam užpuolikui taip pat reikia išsamios įžvalgos apie tai, kaip veikia „Log4j“. Priešingai nei pradinis, lengvai pasiekiamas pažeidžiamumas.