Tác động của lỗ hổng khét tiếng trong thư viện Java Log4j vẫn còn kéo dài. Mặc dù vấn đề lớn nhất đã được giải quyết với bản vá khẩn cấp 2.16 nhưng phiên bản này dường như cũng dễ bị lạm dụng. Các nhà nghiên cứu bảo mật đã tìm thấy lối vào cho các cuộc tấn công Từ chối dịch vụ (DoS). Log4j 2.17 đã được xuất bản để đóng mục này.
Apache, nhà phát triển thư viện Java, khuyên các tổ chức nên áp dụng bản vá khẩn cấp. Lời khuyên đó được áp dụng lần thứ ba kể từ khi thư viện được phát hiện là có lỗ hổng.
Một tuần rưỡi trước, các nhà nghiên cứu bảo mật từ Alibaba cloud Nhóm bảo mật tiết lộ phương pháp lạm dụng ứng dụng bằng Log4j. Log4j được sử dụng trong các ứng dụng để ghi nhật ký sự kiện. Hóa ra có thể truy cập các ứng dụng có thư viện từ bên ngoài với hướng dẫn thực thi phần mềm độc hại. Lạm dụng chỉ diễn ra trong tích tắc. Thêm vào đó là số lần xuất hiện ước tính của thư viện trong hầu hết các môi trường doanh nghiệp và bạn hiểu được quy mô của thảm họa mà bối cảnh CNTT toàn cầu đang phải đối mặt.
Các nhà phát triển phần mềm như Fortinet, Cisco, IBM và hàng chục công ty khác sử dụng thư viện trong phần mềm của họ. Các nhà phát triển của họ đã làm việc ngoài giờ vào cuối tuần ngày 11 tháng 2.15 để xử lý bản vá khẩn cấp đầu tiên cho lỗ hổng này và cung cấp cho các tổ chức người dùng. Chính xác thì sự thay đổi tương tự đã được dự đoán từ các nhóm CNTT trong các tổ chức này. Hàng trăm ngàn nỗ lực tấn công đã diễn ra trên toàn thế giới. Mọi người phải chuyển sang 2.15 càng sớm càng tốt – cho đến khi XNUMX cũng bị phát hiện là dễ bị tổn thương.
Một số cấu hình nhất định của thư viện vẫn có thể có trong phiên bản 2.15. Việc sử dụng các cấu hình này đã làm tồn tại lỗ hổng bảo mật. Phiên bản 2.16 không thể cấu hình được, đảm bảo có bản vá mới. Thường là sự thất vọng của các nhóm CNTT vốn đã làm việc quá sức. Tuy nhiên, nó luôn có thể tệ hơn, vì 2.16 cũng có bệnh.
Trở vê khởi điểm
Sự chú ý toàn cầu đối với vấn đề này đã thúc đẩy một cuộc điều tra quy mô lớn trên toàn thế giới. Apache, nhà phát triển thư viện, dường như không thể thở được trong hai ngày nếu không có một công ty bảo mật nào chỉ ra một vấn đề cấp bách mới.
Nói tóm lại, hóa ra có thể chạy hàng tá phiên bản log4j – bao gồm cả 2.16 – với một dòng (chuỗi) để bắt đầu một vòng lặp vĩnh cửu làm ứng dụng bị treo. Các điều kiện mà một môi trường phải đáp ứng để có thể bị lạm dụng là rất lớn. Quá rộng đến mức mức độ nghiêm trọng thực tế của vấn đề đang bị tranh cãi. Bản vá được chính thức khuyến nghị nhưng không phải ai cũng bị thuyết phục.
Một lần nữa, không phải mọi phiên bản của Log4j đều dễ bị tấn công mà chỉ trong trường hợp thư viện đang chạy trên cài đặt tùy chỉnh. Kẻ tấn công tiềm năng cũng cần có cái nhìn sâu sắc chi tiết về cách hoạt động của Log4j. Ngược lại với lỗ hổng ban đầu, dễ dàng tiếp cận.