L-impatt tal-vulnerabbiltà infami fil-librerija Java Log4j jkaxkar. Għalkemm l-akbar problema ġiet solvuta bil-garża urġenti 2.16, din il-verżjoni tidher ukoll li hija suxxettibbli għall-abbuż. Ir-riċerkaturi tas-sigurtà sabu daħla għal attakki ta’ Denial of Service (DoS). Log4j 2.17 ġie ppubblikat biex jagħlaq id-dħul.
Apache, żviluppatur tal-librerija Java, jagħti parir lill-organizzazzjonijiet biex japplikaw il-garża ta 'emerġenza. Dak il-parir japplika għat-tielet darba minn meta nstabet li l-librerija kienet vulnerabbli.
Ġimgħa u nofs ilu, riċerkaturi tas-sigurtà minn Alibaba cloud tim tas-sigurtà żvela metodu biex jabbuża applikazzjonijiet ma Log4j. Log4j jintuża fl-applikazzjonijiet biex jirreġistra l-avvenimenti. Irriżulta li kien possibbli li wieħed jaċċessa l-applikazzjonijiet bil-librerija minn barra bi struzzjonijiet għall-eżekuzzjoni tal-malware. Abbuż jieħu ftit aktar minn snap. Żid ma' dan l-okkorrenza stmata tal-librerija fil-biċċa l-kbira tal-ambjenti korporattivi u tifhem l-iskala tad-diżastru li qed jiffaċċja l-pajsaġġ globali tal-IT.
Iżviluppaturi ta 'softwer bħal Fortinet, Cisco, IBM u għexieren ta' oħrajn jużaw il-librerija fis-softwer tagħhom. L-iżviluppaturi tagħhom ħadmu sahra matul il-weekend tal-11 ta 'Diċembru biex jipproċessaw l-ewwel garża ta' emerġenza għall-vulnerabbiltà u jwassluha lill-organizzazzjonijiet tal-utenti. Eżattament l-istess drift kien mistenni mit-timijiet tal-IT fi ħdan dawn l-organizzazzjonijiet. Mijiet ta’ eluf ta’ attentati ta’ attakk seħħew madwar id-dinja. Kulħadd kellu jaqleb għal 2.15 kemm jista’ jkun malajr – sakemm is-2.15 instab ukoll vulnerabbli.
Ċerti konfigurazzjonijiet tal-librerija baqgħu possibbli fil-verżjoni 2.15. L-użu ta 'dawn il-konfigurazzjonijiet kompliet il-vulnerabilità. Il-verżjoni 2.16 għamlet il-konfigurazzjonijiet impossibbli, u tiggarantixxi garża ġdida. Ħafna drabi għal dispjaċir ta 'timijiet tal-IT li diġà għandhom xogħol żejjed. Madankollu, dejjem jista 'jkun agħar, minħabba li 2.16 għandu wkoll marda.
Lura biex tibda
L-attenzjoni globali massiva għall-problema wasslet għal investigazzjoni massiva madwar id-dinja. Apache, l-iżviluppatur tal-librerija, jidher li ma jistax jaqbad nifs għal jumejn mingħajr ma kumpanija tas-sigurtà tindika problema ġdida u urġenti.
Fil-qosor, jirriżulta li huwa possibbli li jitħaddmu għexieren ta 'verżjonijiet ta' log4j - inkluż 2.16 - b'linja waħda (sekwenza) biex tibda linja eterna li tiġġarraf l-applikazzjoni. Il-kundizzjonijiet li ambjent irid jissodisfa biex ikun abbużat huma estensivi. Tant estensiv li s-serjetà prattika tal-problema hija kkontestata. Il-garża hija rakkomandata uffiċjalment, iżda mhux kulħadd huwa konvint.
Għal darb'oħra, mhux kull każ ta 'Log4j huwa vulnerabbli, iżda każijiet biss fejn il-librerija tkun qed taħdem fuq settings tad-dwana. Attakkant potenzjali jeħtieġ ukoll ħarsa dettaljata dwar kif jaħdem Log4j. Kuntrast mal-vulnerabbiltà inizjali, faċilment aċċessibbli.