Вплив сумнозвісної вразливості в бібліотеці Java Log4j затягується. Незважаючи на те, що найбільша проблема була вирішена за допомогою термінового виправлення 2.16, ця версія також, здається, схильна до зловживань. Дослідники безпеки знайшли вхід для атак «Відмова в обслуговуванні» (DoS). Log4j 2.17 було опубліковано, щоб закрити запис.
Apache, розробник бібліотеки Java, радить організаціям застосувати аварійний патч. Ця порада діє вже втретє з тих пір, як бібліотека була визнана вразливою.
Півтора тижні тому дослідники безпеки з Alibaba's cloud Команда безпеки розкрила спосіб зловживання додатками за допомогою Log4j. Log4j використовується в програмах для реєстрації подій. Виявилося, що можна отримати доступ до програм з бібліотекою ззовні з інструкціями щодо виконання шкідливих програм. Зловживання займає трохи більше, ніж один момент. Додайте до цього оцінку поширення бібліотеки в більшості корпоративних середовищ, і ви зрозумієте масштаби катастрофи, з якою стикається глобальний IT-ландшафт.
Розробники програмного забезпечення, такі як Fortinet, Cisco, IBM та десятки інших, використовують бібліотеку у своєму програмному забезпеченні. Їхні розробники працювали понаднормово у вихідні 11 грудня, щоб обробити перший екстрений виправлення уразливості та доставити його організаціям-користувачам. Точно такого ж зміни очікували від ІТ-команд у цих організаціях. У всьому світі відбулися сотні тисяч спроб нападу. Усі повинні були якнайшвидше перейти на 2.15 – поки 2.15 також не виявилося вразливим.
Деякі конфігурації бібліотеки залишалися можливими у версії 2.15. Використання цих конфігурацій увічнило вразливість. Версія 2.16 унеможливила конфігурації, гарантуючи новий патч. Часто на жаль і без того перевантажених ІТ-команд. Однак завжди може бути гірше, адже 2.16 теж має недугу.
Повернутися до початку
Величезна глобальна увага до проблеми спонукала до масових досліджень у всьому світі. Apache, розробник бібліотеки, не може перевести подих протягом двох днів без того, щоб охоронна компанія вказала на нову, нагальну проблему.
Коротше кажучи, виявляється, що можна запустити десятки версій log4j – включаючи 2.16 – з одним рядком (рядком), щоб запустити вічний цикл, який завершує роботу програми. Умови, яким має відповідати середовище, щоб зазнати зловживань, є широкими. Настільки обширна, що практична серйозність проблеми спірна. Патч офіційно рекомендований, але не всі переконані.
Знову ж таки, не кожен екземпляр Log4j є вразливим, а лише ті випадки, коли бібліотека працює на користувацьких налаштуваннях. Потенційний зловмисник також потребує детального розуміння того, як працює Log4j. Контраст із початковою, легкодоступною вразливістю.