Bēdīgi slavenās Java bibliotēkas Log4j ievainojamības ietekme turpinās. Lai gan lielākā problēma tika atrisināta ar steidzamu ielāpu 2.16, šķiet, ka arī šī versija ir pakļauta ļaunprātīgai izmantošanai. Drošības pētnieki atrada ieeju pakalpojuma atteikuma (DoS) uzbrukumiem. Log4j 2.17 ir publicēts, lai aizvērtu ierakstu.
Java bibliotēkas izstrādātājs Apache iesaka organizācijām lietot avārijas ielāpu. Šis padoms ir spēkā trešo reizi, kopš tika atklāts, ka bibliotēka ir neaizsargāta.
Pirms pusotras nedēļas drošības pētnieki no Alibaba's cloud drošības komanda atklāja metodi, kā ļaunprātīgi izmantot lietojumprogrammas ar Log4j. Log4j tiek izmantots lietojumprogrammās, lai reģistrētu notikumus. Izrādījās, ka lietojumprogrammām ar bibliotēku var piekļūt no ārpuses ar norādījumiem par ļaunprātīgas programmatūras izpildi. Ļaunprātīgai izmantošanai nepieciešams tikai mirklis. Ja tam pievieno aptuveno bibliotēkas sastopamību lielākajā daļā korporatīvo vidi, jūs sapratīsit globālajā IT ainavā esošās katastrofas mērogu.
Programmatūras izstrādātāji, piemēram, Fortinet, Cisco, IBM un desmitiem citu, izmanto bibliotēku savā programmatūrā. To izstrādātāji nedēļas nogalē, 11. decembrī, strādāja virsstundas, lai apstrādātu pirmo ievainojamības avārijas ielāpu un piegādātu to lietotāju organizācijām. Tieši tāda pati novirze tika gaidīta arī no IT komandām šajās organizācijās. Visā pasaulē notika simtiem tūkstošu uzbrukuma mēģinājumu. Visiem nācās pēc iespējas ātrāk pāriet uz 2.15 – līdz 2.15 arī tika atzīts par neaizsargātu.
Versijā 2.15 joprojām bija iespējamas noteiktas bibliotēkas konfigurācijas. Izmantojot šīs konfigurācijas, ievainojamība tika saglabāta. Versija 2.16 padarīja konfigurācijas neiespējamas, garantējot jaunu ielāpu. Bieži vien jau tā pārslogotu IT komandu sarūgtinājumam. Tomēr vienmēr var būt sliktāk, jo arī 2.16 ir kāda kaite.
Atpakaļ uz sākumu
Plašā globālā uzmanība problēmai izraisīja masveida izmeklēšanu visā pasaulē. Šķiet, ka bibliotēkas izstrādātājs Apache divas dienas nevar atvilkt elpu, ja apsardzes uzņēmums nenorādīs uz jaunu, aktuālu problēmu.
Īsāk sakot, izrādās, ka ir iespējams palaist desmitiem log4j versiju, tostarp 2.16, ar vienu rindiņu (virkni), lai sāktu mūžīgo cilpu, kas avarē lietojumprogrammu. Nosacījumi, kuriem videi ir jāatbilst, lai to varētu ļaunprātīgi izmantot, ir plaši. Tik plaši, ka problēmas praktiskā nopietnība tiek apstrīdēta. Plāksteris ir oficiāli ieteikts, taču ne visi ir pārliecināti.
Atkal, ne katrs Log4j gadījums ir neaizsargāts, bet tikai gadījumi, kad bibliotēka darbojas ar pielāgotiem iestatījumiem. Potenciālajam uzbrucējam ir nepieciešams arī detalizēts ieskats Log4j darbībā. Pretstats sākotnējai, viegli pieejamai ievainojamībai.