Patuloy ang epekto ng karumal-dumal na kahinaan sa Java library Log4j. Bagama't ang pinakamalaking problema ay nalutas sa kagyat na patch 2.16, ang bersyon na ito ay lumilitaw din na madaling kapitan ng pang-aabuso. Nakahanap ang mga mananaliksik ng seguridad ng pasukan para sa mga pag-atake ng Denial of Service (DoS). Ang Log4j 2.17 ay nai-publish upang isara ang entry.
Ang Apache, developer ng Java library, ay nagpapayo sa mga organisasyon na ilapat ang emergency patch. Nalalapat ang payo na iyon sa pangatlong beses mula nang makitang mahina ang library.
Isang linggo at kalahati ang nakalipas, ang mga mananaliksik ng seguridad mula sa Alibaba's cloud nagsiwalat ang security team ng isang paraan para abusuhin ang mga application gamit ang Log4j. Ginagamit ang Log4j sa mga application upang mag-log ng mga kaganapan. Ito ay naging posible na ma-access ang mga application gamit ang library mula sa labas na may mga tagubilin para sa pagpapatupad ng malware. Ang pang-aabuso ay tumatagal ng kaunti pa sa isang iglap. Idagdag pa ang tinantyang paglitaw ng library sa karamihan ng mga corporate environment at nauunawaan mo ang laki ng sakuna na kinakaharap ng pandaigdigang IT landscape.
Ginagamit ng mga developer ng software tulad ng Fortinet, Cisco, IBM at dose-dosenang iba pa ang library sa kanilang software. Nag-overtime ang kanilang mga developer sa weekend noong Disyembre 11 para iproseso ang unang emergency patch para sa kahinaan at ihatid ito sa mga organisasyon ng user. Eksaktong parehong drift ang inaasahan mula sa mga IT team sa loob ng mga organisasyong ito. Daan-daang libong mga pagtatangka sa pag-atake ang naganap sa buong mundo. Ang bawat isa ay kailangang lumipat sa 2.15 sa lalong madaling panahon - hanggang 2.15 ay natagpuan din na mahina.
Ang ilang partikular na configuration ng library ay nanatiling posible sa bersyon 2.15. Ang paggamit ng mga pagsasaayos na ito ay nagpatuloy sa kahinaan. Ginawa ng Bersyon 2.16 na imposible ang mga pagsasaayos, na ginagarantiyahan ang isang bagong patch. Kadalasan sa kabiguan ng mga na-overwork na IT team. Gayunpaman, maaari itong palaging mas masahol pa, dahil ang 2.16 ay mayroon ding karamdaman.
Bumalik sa simula
Ang malawakang pandaigdigang atensyon sa problema ay nag-udyok ng malawakang pagsisiyasat sa buong mundo. Si Apache, developer ng library, ay tila hindi makahinga sa loob ng dalawang araw nang walang isang kumpanya ng seguridad na nagtuturo ng isang bago, matinding problema.
Sa madaling salita, lumalabas na posibleng magpatakbo ng dose-dosenang mga bersyon ng log4j – kabilang ang 2.16 – na may isang linya (string) upang magsimula ng walang hanggang loop na nag-crash sa application. Ang mga kundisyon na dapat matugunan ng isang kapaligiran upang maabuso ay malawak. Napakalawak na ang praktikal na kabigatan ng problema ay pinagtatalunan. Ang patch ay opisyal na inirerekomenda, ngunit hindi lahat ay kumbinsido.
Muli, hindi lahat ng pagkakataon ng Log4j ay mahina, ngunit mga kaso lamang kung saan tumatakbo ang library sa mga custom na setting. Ang isang potensyal na umaatake ay nangangailangan din ng detalyadong insight sa kung paano gumagana ang Log4j. Isang kaibahan sa una, madaling ma-access na kahinaan.