Varnostna luknja v knjižnici Log4j se kaže kot najresnejša v zadnjih letih

Log4j je ključna odprtokodna javanska knjižnica, razvita v Apache Software Foundation, ki v različnih programskih paketih skrbi za beleženje dogajanja (t.i. log). Varnostna luknja, ki so jo strokovnjaki poimenovali Log4Shell, napadalcu omogoča »zabeležiti« posebej izdelano besedilno kodo, s katero je mogoče pridobiti popoln nadzor nad strežnikom, kjer teče Log4j.

Log4j je komponenta, ki jo v svojih izdelkih uporablja množica programskih podjetij, tudi tako eminentnih, kot so Cisco, Oracle ali IBM. Beleženje dogajanja je pač ključen del zagotavljanja varnosti v programskih paketih in ravno ta je se je izkazal za hroščatega.

Pri internetnemu ponudniku Cloudflare so ugotovili, da so bili prvi vdori na podlagi luknje Log4Shell zabeleženi 1. decembra, število napadov pa je izredno naraslo od tega četrtka naprej, ko je bila luknja javno objavljena. Napadalci so s pomočjo Log4Shell zaenkrat nameščali le programske pakete za rudarjenje kriptovalut in krajo gesel, ker je to v tekmi s časom (ko strežniki še niso pokrpani) najlažje izvedljivo.

Na posebej izdelano besedilno kodo so občutljive različice Log4j 2.0 do 2.14.1, te so med drugim vgrajene tudi v Apache Struts2, Solr, Druid, Flink in Swift. Tudi Mirai, orodje za iskanje vseh mogočih lukenj v napravah IoT, že ima vgrajeno iskanje za luknjo Log4Shell. Priporoča se nadgradnja na različico Log4j 2.15.0.

Popravke za svoje izdelke so že objavili Cisco, VMware, Amazon (AWS, Cloudfront), IBM in Oracle.

Ker velika večina programerjev ne beleži natančno katere komponente vse uporablja v svojih izdelkih, je zelo verjetno, da se bodo napadi na knjižnico Log4j nadaljevali še leta, na množici strežnikov, ki so odprti v internet.