Wpływ niesławnej podatności w bibliotece Java Log4j jest wciąż jeszcze większy. Chociaż największy problem został rozwiązany w pilnej łatce 2.16, ta wersja również wydaje się być podatna na nadużycia. Badacze bezpieczeństwa znaleźli wejście do ataków typu Denial of Service (DoS). Log4j 2.17 został opublikowany, aby zamknąć wpis.
Apache, twórca biblioteki Java, doradza organizacjom zastosowanie łatki awaryjnej. Ta rada ma zastosowanie po raz trzeci, odkąd biblioteka została uznana za zagrożoną.
Półtora tygodnia temu badacze bezpieczeństwa z Alibaba cloud Zespół ds. bezpieczeństwa ujawnił metodę nadużywania aplikacji za pomocą Log4j. Log4j jest używany w aplikacjach do rejestrowania zdarzeń. Okazało się, że możliwy jest dostęp do aplikacji z biblioteką z zewnątrz wraz z instrukcjami uruchamiania złośliwego oprogramowania. Nadużycie zajmuje niewiele więcej niż chwilę. Dodaj do tego szacunkowe występowanie biblioteki w większości środowisk korporacyjnych, a zrozumiesz skalę katastrofy, przed którą stoi globalny krajobraz IT.
Twórcy oprogramowania, tacy jak Fortinet, Cisco, IBM i dziesiątki innych, korzystają z biblioteki w swoim oprogramowaniu. Ich programiści pracowali w nadgodzinach w weekend 11 grudnia, aby przetworzyć pierwszą poprawkę awaryjną dla luki i dostarczyć ją organizacjom użytkowników. Dokładnie tego samego oczekiwano od zespołów IT w tych organizacjach. Na całym świecie miały miejsce setki tysięcy prób ataków. Wszyscy musieli jak najszybciej przejść na 2.15 – do czasu, gdy 2.15 również okazało się podatne na ataki.
Niektóre konfiguracje biblioteki pozostały możliwe w wersji 2.15. Korzystanie z tych konfiguracji utrwalało lukę. Wersja 2.16 uniemożliwiła konfiguracje, gwarantując nową łatkę. Często ku rozgoryczeniu i tak już przepracowanych zespołów IT. Jednak zawsze może być gorzej, bo 2.16 też ma dolegliwość.
Powrót do startu
Ogromna globalna uwaga skierowana na problem spowodowała masowe śledztwo na całym świecie. Apache, twórca biblioteki, nie może złapać oddechu przez dwa dni bez wskazania przez firmę ochroniarską nowego, palącego problemu.
Krótko mówiąc, okazuje się, że możliwe jest uruchomienie kilkudziesięciu wersji log4j – w tym 2.16 – z jedną linią (ciągiem), aby uruchomić wieczną pętlę, która powoduje awarię aplikacji. Warunki, jakie musi spełnić środowisko, aby mogło zostać nadużyte, są rozległe. Tak rozległe, że praktyczna powaga problemu jest kwestionowana. Patch jest oficjalnie rekomendowany, ale nie wszyscy są przekonani.
Ponownie, nie każda instancja Log4j jest zagrożona, ale tylko przypadki, w których biblioteka działa z ustawieniami niestandardowymi. Potencjalny atakujący potrzebuje również szczegółowego wglądu w sposób działania Log4j. Kontrast do początkowej, łatwo dostępnej luki.