”פרצת יום אפס” (Zero Day Bug) חדשה וחמורה במיוחד שקיבלה את השם Log4Shell זוהתה בתיקיית הקוד Log4j של פרויקט הקוד הפתוח האפאצ’י (Apache), הנמצא בשימוש אצל גופים מרובים ברשת. הפרצה, שקיבלה את קוד הזיהוי CVE-2021-44228, מדורגת 10 בסולם ה-CVSS (ר”ת Common Vulnerability Scoring System), דירוג החומרה הגבוה ביותר לפרצת אבטחה, שזוהתה כנמצאת בשימוש פעיל וכבר הספיקה להיות מוגדרת על ידי רבים כפרצת אבטחה של פעם בעשור.
פרצת ה-Log4Shell החדשה, שזוהתה בהתחלה במשחק המיינקראפט (Minecraft) הפופולרי, היא פרצת “הרצת קוד מרחוק” RCE (ר”ת remote code execution) שאותרה בספריית ה-Log4j בגרסת 2.14.1 ומטה של Apache, ספריית קוד Java הנמצאת בשימוש רחב מאוד ומיועדת לביצוע לוגינג (logging) במגוון רחב של אתרים ושירותים הכוללים חברות כמו אפל, טסלה, טוויטר, Steam, אמזון, גוגל ועוד.
מדובר בפרצת אבטחה פשוטה למדי, המשתמשת בפיצ’ר בשם JNDI (ר”ת Java Naming and Directory Interface) בספריית ה-Log4j, ובאמצעות משלוח מחרוזת טקסט ספציפית מאוד מאפשרת להפעיל קוד זדוני על השרת. הפרצה כה פשוטה למימוש, כאשר חלק מהדיווחים מצביעים על יותר מ-80 אלף ניסיונות להשתמש בה על ידי גורמים זדוניים נכון לרגע זה.
פרצת ה-Log4Shell תוקנה על ידי Apache בגרסת ה-Log4j 2.15.0, כאשר כלל מומחי האבטחה ממליצים לעדכן לגרסה החדשה ולהתקין את תיקוני האבטחה השונים אותם מוציאות החברות בעקבות זיהוי הפרצה החדשה.
לא מדובר הפעם על “עוד פרצת אבטחה”, אלא בפרצת אבטחה שמוגדרת ככזו אותה מאתרים פעם בעשור ומשפיעה על מגוון גדול ורחב במיוחד של אתרים, כאשר בשלב זה לא ידוע אילו אתרים נפגעים ממנה מאחר ולא כולם יודעים שהם עושים שימוש בספריית ה-Log4j בפועל.
