Kritična ranjivost u popularnom Java libraryju
Java library log4j je izuzetno popularni library kojeg koriste skoro sve aplikacije pisane u Javi, bilo da su serverske, klijentske, u oblaku... Kritična ranjivost koja je u njemu otkrivena stoga baca velike sigurnosne probleme na cijeli svijet
Kritična ranjivost za log4j, nazvana Log4Shell, počela je stvarati veliki problem ogromnom broju korisnika Jave. Naime, ranjivost koja je službeno objavljena u četvrtak, 9.12., s POC-om (Proof of Concept) već u petak je počela harati diljem svijeta.
Na tapeti su svi – od Applea i Twittera preko Valvea pa do Minecrafta, zamjetan broj meta – a najgore od svega je što, makar tehnički kompleksna, ranjivost je izuzetno jednostavna za iskoristiti. Log4Shell omogućava da kroz sigurnosni propust u log4ju napadač na ciljanoj aplikaciji izvrši računalni kôd po želji, bilo da se radilo o serverskoj ili klijentskoj (npr. Minecraft i njegovih 140 milijuna igrača).
Apache, koji je zadužen za log4j, je izdao novu verziju koja anulira ranjivost, no opet zbog popularnosti libraryja, pitanje je kad će svijet pokrpati svoje aplikacije. Pogotovo je problematično u enterprise svijetu gdje se sustavi ne krpaju preko noći.
Infigo IS, hrvatska sigurnosna kompanija, javlja da se prema podacima njihovih sigurnosnih rješenja u hrvatskom kibernetičkom prostoru javljaju višestruki pokušaji eksploatacije. Napisali su članak o samoj ranjivosti, pokazali kako funkcionira te ponudili više rješenja kako je obuzdati.
Bojan Ždrnja (dobro ga znate kao našeg dugogodišnjeg suradnika i eksperta za sigurnosnu tematiku) složio je i jednostavni primjer kako napadač dobiva pristup shellu u samo par jednostavnih koraka.
Tokom sljedećih dana, a i tjedana, sigurno će se javiti veliki broj sigurnosnih incidenata vezanih baš uz Log4Shell – bit će to, ako ništa drugo, zanimljivo za gledati.
