Huda ranljivost v knjižnici Apache Log4j se že izrablja

V knjižnici Java logging library Log4j so odkrili hudo ranljivost, ki napadalcem omogoči izvesti poljubno kodo v sistemu, do katerega imajo le oddaljen dostop (remote code execution). Prizadeta knjižnica se široko uporablja, objavljena pa je tudi koda, ki omogoča izrabo ranljivosti. Zato ni presenetljivo, da že beležijo primere aktivne zlorabe in napadov na produkcijske sisteme. Popravljena verzija je že na voljo, a smo v veliki meri odvisni od proizvajalcev aplikacij in sistemov, ki uporabljajo Apache Log4j.

Prizadete so verzije od 2.0 do 2.14.1, zato vsem svetujemo nadgradnjo na verzijo 2.15.0. V nekaterih poznejših verzijah (2.10.0 in novejše) se je moč ubraniti tudi z zagonom aplikacije s posebnim stikalom (-Dlog4j2.formatMsgNoLookups=true), kar pa lahko vpliva na funkcionalnost Lookups. Ali je bil neki sistem že tarča napada, lahko preverimo v dnevniških datotekah, ki bodo v tem primeru vsebovale nize ${jndi:ldap://…}. Hekerji že množično iščejo ranljive sisteme. Celo v igri Minecraft, ki obstaja tudi v javanski verziji, so se pojavili igralci, ki si uporabniško ime spremenijo v škodljivi niz znakov.

Log4j je knjižnica za Javo, ki sicer ni najpopularnejši programski jezik, a je še vedno precej razširjen v poslovnih sistemih in spletnih aplikacijah. Za zlorabo je dovolj, da napadalec pošlje zlonamerno kodo, ki jo Log4j zabeleži. Na ranljivost so opozorili že vsi večji CERT-i, vključno s slovenskim.