Ndikimi i cenueshmërisë famëkeqe në bibliotekën Java Log4j zvarritet. Megjithëse problemi më i madh u zgjidh me patch urgjent 2.16, ky version gjithashtu duket se është i ndjeshëm ndaj abuzimit. Studiuesit e sigurisë gjetën një hyrje për sulmet e Mohimit të Shërbimit (DoS). Log4j 2.17 është publikuar për të mbyllur hyrjen.
Apache, zhvilluesi i bibliotekës Java, këshillon organizatat të aplikojnë patch-in e urgjencës. Kjo këshillë zbatohet për herë të tretë që kur biblioteka u zbulua se ishte e pambrojtur.
Një javë e gjysmë më parë, studiues të sigurisë nga Alibaba's cloud ekipi i sigurisë zbuloi një metodë për abuzimin e aplikacioneve me Log4j. Log4j përdoret në aplikacione për regjistrimin e ngjarjeve. Doli të ishte e mundur qasja në aplikacione me bibliotekë nga jashtë me udhëzime për ekzekutimin e malware. Abuzimi kërkon pak më shumë se një moment. Shtojini kësaj dukurinë e vlerësuar të bibliotekës në shumicën e mjediseve të korporatave dhe do të kuptoni shkallën e fatkeqësisë me të cilën përballet peizazhi global i IT.
Zhvilluesit e softuerit si Fortinet, Cisco, IBM dhe dhjetëra të tjerë e përdorin bibliotekën në softuerin e tyre. Zhvilluesit e tyre punuan jashtë orarit gjatë fundjavës më 11 dhjetor për të përpunuar patch-in e parë të urgjencës për cenueshmërinë dhe për t'ia dorëzuar atë organizatave të përdoruesve. Pikërisht e njëjta lëvizje pritej nga ekipet e IT brenda këtyre organizatave. Qindra mijëra përpjekje për sulm u zhvilluan në mbarë botën. Të gjithë duhej të kalonin në 2.15 sa më shpejt të ishte e mundur - derisa 2.15 u zbulua gjithashtu se ishte e prekshme.
Disa konfigurime të bibliotekës mbetën të mundshme në versionin 2.15. Përdorimi i këtyre konfigurimeve përjetësoi cenueshmërinë. Versioni 2.16 i bëri konfigurimet të pamundura, duke garantuar një rregullim të ri. Shpesh për hidhërimin e ekipeve të IT tashmë të mbingarkuar. Sidoqoftë, gjithmonë mund të jetë më keq, sepse 2.16 gjithashtu ka një sëmundje.
Kthehu në fillim
Vëmendja masive globale ndaj problemit nxiti një hetim masiv në mbarë botën. Apache, zhvilluesi i bibliotekës, duket se nuk mund të marrë frymë për dy ditë pa një kompani sigurie që tregon një problem të ri, urgjent.
Shkurtimisht, rezulton se është e mundur të ekzekutohen dhjetëra versione të log4j – përfshirë 2.16 – me një rresht (string) për të nisur një lak të përjetshëm që rrëzon aplikacionin. Kushtet që duhet të plotësojë një mjedis për t'u keqpërdorur janë të gjera. Aq i gjerë sa serioziteti praktik i problemit është i diskutueshëm. Patch rekomandohet zyrtarisht, por jo të gjithë janë të bindur.
Përsëri, jo çdo shembull i Log4j është i cenueshëm, por vetëm rastet kur biblioteka po funksionon në cilësimet e personalizuara. Një sulmues i mundshëm gjithashtu ka nevojë për një pasqyrë të detajuar se si funksionon Log4j. Një kontrast me cenueshmërinë fillestare, lehtësisht të arritshme.