Vpliv zloglasne ranljivosti v knjižnici Java Log4j se vleče. Čeprav je bil največji problem rešen z nujnim popravkom 2.16, se zdi, da je tudi ta različica dovzetna za zlorabe. Varnostni raziskovalci so našli vhod za napade zavrnitve storitve (DoS). Log4j 2.17 je bil objavljen za zaprtje vnosa.
Apache, razvijalec knjižnice Java, svetuje organizacijam, naj uporabijo popravek v sili. Ta nasvet velja že tretjič, odkar je bilo ugotovljeno, da je knjižnica ranljiva.
Pred tednom in pol so varnostni raziskovalci iz Alibabe cloud varnostna ekipa je razkrila metodo za zlorabo aplikacij z Log4j. Log4j se uporablja v aplikacijah za beleženje dogodkov. Izkazalo se je, da je mogoč dostop do aplikacij s knjižnico od zunaj z navodili za izvajanje zlonamerne programske opreme. Zloraba traja malo več kot trenutek. Če k temu dodajte ocenjeno pojavnost knjižnice v večini korporativnih okolij, boste razumeli obseg katastrofe, s katero se sooča globalna IT pokrajina.
Razvijalci programske opreme, kot so Fortinet, Cisco, IBM in na desetine drugih, uporabljajo knjižnico v svoji programski opremi. Njihovi razvijalci so čez vikend 11. decembra delali nadure, da bi obdelali prvi nujni popravek za ranljivost in ga dostavili uporabniškim organizacijam. Popolnoma enak premik je bil pričakovan od IT ekip znotraj teh organizacij. Po vsem svetu je bilo na stotine tisoč poskusov napadov. Vsi so morali čim prej preiti na 2.15 – dokler se ni izkazalo, da je ranljiv tudi 2.15.
Nekatere konfiguracije knjižnice so ostale možne v različici 2.15. Uporaba teh konfiguracij je ohranila ranljivost. Različica 2.16 je onemogočila konfiguracije, kar je zagotovilo nov popravek. Pogosto na žalost že tako preobremenjenih IT ekip. Je pa vedno lahko slabše, saj ima tudi 2.16 bolezen.
Nazaj na začetek
Ogromna globalna pozornost temu problemu je spodbudila obsežno svetovno preiskavo. Apache, razvijalec knjižnice, dva dni ne more zajeti sape, ne da bi varnostno podjetje opozorilo na nov, pereč problem.
Skratka, izkazalo se je, da je mogoče zagnati na desetine različic log4j – vključno z 2.16 – z eno vrstico (nizom), da zaženete večno zanko, ki zruši aplikacijo. Pogoji, ki jih mora izpolnjevati okolje, da je zlorabljeno, so obsežni. Tako obsežna, da je praktična resnost problema sporna. Obliž je uradno priporočljiv, vendar vsi niso prepričani.
Ponovno ni vsak primerek Log4j ranljiv, ampak le v primerih, ko se knjižnica izvaja z nastavitvami po meri. Potencialni napadalec potrebuje tudi podroben vpogled v delovanje Log4j. V nasprotju z začetno, lahko dostopno ranljivostjo.