Vplyv neslávne známej zraniteľnosti v knižnici Java Log4j sa vlečie. Hoci najväčší problém vyriešil urgentný patch 2.16, zdá sa, že aj táto verzia je náchylná na zneužitie. Bezpečnostní výskumníci našli vchod pre útoky DoS (Denial of Service). Na zatvorenie záznamu bol publikovaný Log4j 2.17.
Apache, vývojár knižnice Java, radí organizáciám použiť núdzovú opravu. Táto rada platí už po tretíkrát, odkedy sa zistilo, že knižnica je zraniteľná.
Pred týždňom a pol, bezpečnostní výskumníci z Alibaba cloud bezpečnostný tím odhalil spôsob zneužívania aplikácií pomocou Log4j. Log4j sa používa v aplikáciách na zaznamenávanie udalostí. Ukázalo sa, že je možné pristupovať k aplikáciám s knižnicou zvonku s pokynmi na spustenie malvéru. Zneužitie trvá o niečo viac ako okamih. Pridajte k tomu odhadovaný výskyt knižnice vo väčšine podnikových prostredí a pochopíte rozsah katastrofy, ktorej čelí globálne IT prostredie.
Vývojári softvéru ako Fortinet, Cisco, IBM a desiatky ďalších používajú knižnicu vo svojom softvéri. Ich vývojári pracovali nadčas cez víkend 11. decembra, aby spracovali prvú núdzovú opravu zraniteľnosti a doručili ju organizáciám používateľov. Presne rovnaký posun sa očakával od IT tímov v týchto organizáciách. Na celom svete sa uskutočnili státisíce pokusov o útok. Každý musel čo najskôr prejsť na 2.15 – kým sa tiež zistilo, že 2.15 je zraniteľný.
Určité konfigurácie knižnice zostali možné aj vo verzii 2.15. Použitie týchto konfigurácií zachovalo zraniteľnosť. Verzia 2.16 znemožnila konfigurácie a zaručila novú opravu. Často na pohoršenie už aj tak prepracovaných IT tímov. Vždy to však môže byť horšie, lebo aj 2.16 má neduh.
Späť na začiatok
Obrovská globálna pozornosť venovaná tomuto problému podnietila rozsiahle celosvetové vyšetrovanie. Zdá sa, že Apache, vývojár knižnice, nemôže dva dni chytiť dych bez toho, aby bezpečnostná spoločnosť neupozornila na nový, naliehavý problém.
Stručne povedané, ukázalo sa, že je možné spustiť desiatky verzií log4j – vrátane 2.16 – s jedným riadkom (reťazcom) na spustenie večnej slučky, ktorá zrúti aplikáciu. Podmienky, ktoré musí prostredie spĺňať, aby mohlo byť zneužité, sú rozsiahle. Tak rozsiahle, že praktická závažnosť problému je sporná. Náplasť je oficiálne odporúčaná, no nie každý je presvedčený.
Opäť nie každá inštancia Log4j je zraniteľná, ale iba prípady, keď knižnica beží na vlastných nastaveniach. Potenciálny útočník tiež potrebuje podrobný prehľad o tom, ako Log4j funguje. Kontrast k počiatočnej, ľahko dostupnej zraniteľnosti.