Virkningen av den beryktede sårbarheten i Java-biblioteket Log4j fortsetter. Selv om det største problemet ble løst med hasteoppdatering 2.16, ser også denne versjonen ut til å være utsatt for misbruk. Sikkerhetsforskere fant en inngang for Denial of Service (DoS)-angrep. Log4j 2.17 har blitt publisert for å lukke oppføringen.
Apache, utvikler av Java-biblioteket, råder organisasjoner til å bruke nødlappen. Det rådet gjelder for tredje gang siden biblioteket ble funnet å være sårbart.
For en og en halv uke siden, sikkerhetsforskere fra Alibaba's cloud sikkerhetsteamet avslørte en metode for å misbruke applikasjoner med Log4j. Log4j brukes i applikasjoner for å logge hendelser. Det viste seg å være mulig å få tilgang til applikasjoner med biblioteket utenfra med instruksjoner for utføring av skadelig programvare. Misbruk tar lite mer enn et blunk. Legg til det estimerte forekomsten av biblioteket i de fleste bedriftsmiljøer, og du forstår omfanget av katastrofen som møter det globale IT-landskapet.
Programvareutviklere som Fortinet, Cisco, IBM og dusinvis av andre bruker biblioteket i programvaren deres. Utviklerne deres jobbet overtid i helgen 11. desember for å behandle den første nødoppdateringen for sårbarheten og levere den til brukerorganisasjoner. Nøyaktig den samme driften var forventet fra IT-teamene i disse organisasjonene. Hundretusenvis av angrepsforsøk fant sted over hele verden. Alle måtte bytte til 2.15 så snart som mulig – inntil 2.15 også ble funnet å være sårbare.
Visse konfigurasjoner av biblioteket forble mulig i versjon 2.15. Ved å bruke disse konfigurasjonene fortsatte sårbarheten. Versjon 2.16 gjorde konfigurasjonene umulige, og garanterte en ny oppdatering. Ofte til irritasjon for allerede overarbeidede IT-team. Det kan imidlertid alltid være verre, for 2.16 har også en plage.
Tilbake til start
Den massive globale oppmerksomheten rundt problemet førte til massiv verdensomspennende etterforskning. Apache, utvikler av biblioteket, klarer ikke å trekke pusten på to dager uten at et sikkerhetsselskap har pekt på et nytt, presserende problem.
Kort fortalt viser det seg at det er mulig å kjøre dusinvis av versjoner av log4j – inkludert 2.16 – med én linje (streng) for å starte en evig loop som krasjer applikasjonen. Vilkårene et miljø må oppfylle for å bli misbrukt er omfattende. Så omfattende at problemets praktiske alvor er omstridt. Patchen anbefales offisielt, men ikke alle er overbevist.
Igjen, ikke alle forekomster av Log4j er sårbare, men bare tilfeller der biblioteket kjører på egendefinerte innstillinger. En potensiell angriper trenger også detaljert innsikt i hvordan Log4j fungerer. En kontrast til den første, lett tilgjengelige sårbarheten.