ผลกระทบของช่องโหว่ที่น่าอับอายในไลบรารี Java Log4j ยังคงดำเนินต่อไป แม้ว่าปัญหาที่ใหญ่ที่สุดจะได้รับการแก้ไขด้วยแพตช์ 2.16 อย่างเร่งด่วน แต่เวอร์ชันนี้ก็ดูเหมือนจะอ่อนไหวต่อการใช้งานในทางที่ผิด นักวิจัยด้านความปลอดภัยพบทางเข้าสำหรับการโจมตี Denial of Service (DoS) Log4j 2.17 ได้รับการเผยแพร่เพื่อปิดรายการ
Apache ผู้พัฒนาไลบรารี Java แนะนำให้องค์กรใช้โปรแกรมแก้ไขฉุกเฉิน คำแนะนำดังกล่าวมีผลบังคับใช้เป็นครั้งที่สามเนื่องจากพบว่าห้องสมุดมีช่องโหว่
หนึ่งสัปดาห์ครึ่งที่ผ่านมา นักวิจัยด้านความปลอดภัยจาก Alibaba's cloud ทีมรักษาความปลอดภัยเปิดเผยวิธีการใช้งานแอปพลิเคชันอย่างไม่ถูกต้องด้วย Log4j Log4j ใช้ในแอปพลิเคชันเพื่อบันทึกเหตุการณ์ ปรากฏว่าสามารถเข้าถึงแอปพลิเคชันด้วยไลบรารีจากภายนอกได้ด้วยคำแนะนำในการเรียกใช้มัลแวร์ การละเมิดใช้เวลาเพียงเล็กน้อย เพิ่มการเกิดขึ้นโดยประมาณของห้องสมุดในสภาพแวดล้อมขององค์กรส่วนใหญ่ และคุณเข้าใจขนาดของภัยพิบัติที่เผชิญกับภูมิทัศน์ไอทีทั่วโลก
นักพัฒนาซอฟต์แวร์ เช่น Fortinet, Cisco, IBM และอีกหลายคนใช้ไลบรารี่ในซอฟต์แวร์ของตน นักพัฒนาของพวกเขาทำงานล่วงเวลาในช่วงสุดสัปดาห์ที่ 11 ธันวาคม เพื่อประมวลผลแพตช์ฉุกเฉินครั้งแรกสำหรับช่องโหว่นี้ และส่งไปยังองค์กรผู้ใช้ ทีมไอทีภายในองค์กรเหล่านี้คาดหวังความเบี่ยงเบนแบบเดียวกัน มีการพยายามโจมตีหลายแสนครั้งทั่วโลก ทุกคนต้องเปลี่ยนไปใช้ 2.15 โดยเร็วที่สุด จนกระทั่ง 2.15 พบว่ามีความเสี่ยงเช่นกัน
การกำหนดค่าบางอย่างของไลบรารียังคงเป็นไปได้ในเวอร์ชัน 2.15 การใช้การกำหนดค่าเหล่านี้ทำให้เกิดช่องโหว่ เวอร์ชัน 2.16 ทำให้การกำหนดค่าเป็นไปไม่ได้ รับประกันแพตช์ใหม่ มักจะสร้างความผิดหวังให้กับทีมไอทีที่ทำงานหนักอยู่แล้ว อย่างไรก็ตาม มันอาจจะเลวร้ายกว่านั้นก็ได้ เพราะ 2.16 ก็มีอาการป่วยเช่นกัน
กลับไปเริ่มต้น
ความสนใจทั่วโลกอย่างมหาศาลต่อปัญหาทำให้เกิดการสอบสวนทั่วโลกอย่างมโหฬาร Apache ผู้พัฒนาห้องสมุด ดูเหมือนจะหยุดหายใจไม่ได้เป็นเวลาสองวันโดยที่บริษัทรักษาความปลอดภัยไม่ได้ชี้ให้เห็นปัญหาใหม่ที่เร่งด่วน
กล่าวโดยย่อ ปรากฎว่าเป็นไปได้ที่จะเรียกใช้ log4j หลายสิบเวอร์ชัน - รวมถึง 2.16 - ด้วยหนึ่งบรรทัด (สตริง) เพื่อเริ่มการวนซ้ำนิรันดร์ที่ทำให้แอปพลิเคชันขัดข้อง เงื่อนไขที่สภาพแวดล้อมต้องปฏิบัติตามเพื่อที่จะถูกทารุณกรรมนั้นมีมากมาย กว้างขวางมากจนไม่สามารถระบุถึงความจริงจังของปัญหาในทางปฏิบัติได้ แนะนำให้ใช้โปรแกรมแก้ไขอย่างเป็นทางการ แต่ทุกคนไม่มั่นใจ
อีกครั้ง ไม่ใช่ทุกอินสแตนซ์ของ Log4j ที่มีช่องโหว่ แต่เฉพาะกรณีที่ไลบรารีทำงานบนการตั้งค่าแบบกำหนดเองเท่านั้น ผู้โจมตีอาจต้องการข้อมูลเชิงลึกโดยละเอียดเกี่ยวกับวิธีการทำงานของ Log4j ตรงกันข้ามกับช่องโหว่เริ่มต้นที่เข้าถึงได้ง่าย