Влияние печально известной уязвимости в Java-библиотеке Log4j затягивается. Хотя самая большая проблема была решена с помощью срочного патча 2.16, эта версия также подвержена злоупотреблениям. Исследователи безопасности обнаружили вход для атак типа «отказ в обслуживании» (DoS). Log4j 2.17 был опубликован, чтобы закрыть запись.
Apache, разработчик библиотеки Java, советует организациям установить экстренный патч. Этот совет применяется уже в третий раз с тех пор, как библиотека была признана уязвимой.
Полторы недели назад исследователи безопасности из Alibaba cloud Служба безопасности выявила способ злоупотребления приложениями с помощью Log4j. Log4j используется в приложениях для регистрации событий. Оказалось возможным обращаться к приложениям с библиотекой извне с инструкциями по выполнению вредоносных программ. Злоупотребление занимает немного больше, чем щелчок. Добавьте к этому предполагаемое появление библиотеки в большинстве корпоративных сред, и вы поймете масштаб катастрофы, с которой столкнулся глобальный ИТ-ландшафт.
Разработчики программного обеспечения, такие как Fortinet, Cisco, IBM и десятки других, используют библиотеку в своем программном обеспечении. Их разработчики работали сверхурочно в выходные 11 декабря, чтобы обработать первое экстренное исправление для уязвимости и доставить его организациям-пользователям. Точно такой же дрейф ожидался от ИТ-команд в этих организациях. По всему миру было совершено сотни тысяч попыток атак. Все должны были как можно скорее перейти на 2.15 — пока 2.15 тоже не оказалась уязвимой.
Некоторые конфигурации библиотеки оставались возможными в версии 2.15. Использование этих конфигураций увековечило уязвимость. Версия 2.16 сделала конфигурации невозможными, гарантируя новый патч. Часто к огорчению уже перегруженных ИТ-команд. Впрочем, всегда может быть хуже, потому что у 2.16 тоже есть недуг.
В начало
Массовое внимание всего мира к проблеме вызвало массовые исследования во всем мире. Apache, разработчик библиотеки, уже два дня не может отдышаться, пока охранная компания не укажет на новую насущную проблему.
Короче говоря, получается, что можно запускать десятки версий log4j — включая 2.16 — с одной строкой (строкой), чтобы запустить вечный цикл, который вылетает из приложения. Условия, которым должна соответствовать окружающая среда, чтобы стать объектом злоупотреблений, обширны. Настолько обширный, что практическая серьезность проблемы оспаривается. Патч официально рекомендован, но не все в этом уверены.
Опять же, не каждый экземпляр Log4j уязвим, а только те случаи, когда библиотека работает с пользовательскими настройками. Потенциальному злоумышленнику также необходимо детально разобраться в том, как работает Log4j. В отличие от исходной, легкодоступная уязвимость.