Новости Software

Уязвимость Log4Shell признана самой серьёзной угрозой безопасности за многие годы истории интернета

На минувших выходных стало известно об уязвимости в инструменте журналирования Log4j для ведения логов, который как открытый код (библиотека) распространяется в составе Apache Logging Project. Уязвимость позволяет простыми средствами без необходимости в специальных навыках получать полный контроль над уязвимыми устройствами. Масштаб проблем поразил специалистов, на устранение могут уйти недели и даже месяцы.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

По данным ресурса Scoop News Group, директор Агентства по кибербезопасности и защите инфраструктуры США Джен Истерли (Jen Easterly) сообщила лидерам отрасли во время телефонного брифинга в понедельник, что уязвимость в широко используемой библиотеке протоколирования Log4j «является одной из самых серьёзных, которые она видела за всю свою карьеру, если не самой серьёзной».

В первые рабочие дни после выходных специалисты по безопасности очень и очень многих компаний и правительственных структур начали изучать масштаб проблемы и способы её смягчения. Пока всё выглядит так, что на устранение уязвимости уйдёт много времени, исчисляемого неделями и даже месяцами. Ситуацию усугубляют приближающиеся праздники, что ещё сильнее может затянуть процесс и потребует колоссального напряжения от специалистов по вопросам кибербезопасности и увеличения расходов на сверхурочную работу IT-отделов.

Уязвимость Log4j обнаружили и классифицировали специалисты Alibaba Cloud. Они дали ей название Log4Shell и номер CVE-2021-44228 с присвоением наивысшего класса опасности. Разработчики заранее были предупреждены о наличии уязвимости и выпустили обновлённую исправленную версию библиотеки 2.15.0. Важно отметить, что эксплойт на основе уязвимости Log4j впервые был обнаружен за 9 дней до выхода обновлённой библиотеки и до публичного раскрытия информации о ней. Атаки с её использованием начались в первых числах декабря, а массовые попытки эксплуатации зафиксированы на выходные.

Написанный на Java инструмент журналирования Apache Log4j используется в несметном числе программ. Тем самым проблема затрагивает миллионы компьютеров. Всего одна строка кода с использованием синтаксиса ${} позволяет включать команды в пользовательские агенты браузеров или другие часто регистрируемые атрибуты. При обработке заражённых логов уязвимая система загружает вредоносный скрипт из указанного злоумышленником домена и обрабатывает его, чем предоставляет удалённый доступ неавторизованному лицу. Иначе говоря, уязвимое приложение или сервер переходит под контроль злоумышленника.

По данным источников, Log4Shell уже используется для заражения уязвимых устройств вредоносами Mirai и Muhstik для установки криптомайнеров и для масштабных DDoS-атак. Также зафиксирована загрузка криптомайнера Kinsing. Уже известно об атаках на Apple iCloud и Minecraft, а Microsoft сообщила о случаях сброса маяков Cobalt Strike, что намекает о скорой атаке на серьёзные сетевые ресурсы.

Постоянно пополняемый список затронутых уязвимостью компаний и сервисов можно найти на этой страничке. Там не протолкнуться от компаний высшего звена, что ещё раз подчёркивает серьёзность опасности. Простой пользователь с этим ничего не сможет сделать. Остаётся только надеяться, что сильные мира сего осознают последствия затягивания решения проблемы и приложат все силы на её устранение.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Уязвимость приложения Find My может использоваться злоумышленниками даже при отключенном iPhone 6 мин.
Глава Минцифры Максут Шадаев уверен в намерении «Яндекса» остаться в России 11 мин.
Успех достигнут: продажи Final Fantasy XV наконец превысили 10 млн копий 23 мин.
Минцифры: Россия не планирует блокировать YouTube 43 мин.
Российские эксперты обнаружили новую хакерскую группу 45 мин.
Видео: свежая карта и другой контент в трейлере обновления тактического шутера Insurgency: Sandstorm 2 ч.
«ВКонтакте» покажет первый сериал по сценарию нейросети 2 ч.
Apple разрешила разработчикам приложений повышать стоимость подписки без прямого согласия пользователей 2 ч.
Неумелое руководство и никаких ориентиров: журналист рассказал, что пошло не так с ремейком The Sands of Time 3 ч.
Экономическая стратегия Jurassic World Evolution 2 появится в сервисе Game Pass, причём уже сегодня 3 ч.
Jonsbo анонсировала кулер CR-1400 ARGB White высотой 126 мм 21 мин.
Рядом с нашей галактикой обнаружено загадочное кольцо — это могут быть первые известные следы недавнего взрыва сверхновой 45 мин.
Мизерные продажи электромобилей в России упали в апреле, но продажи Tesla резко выросли 2 ч.
Blue Origin показала огневые испытания многоразового ракетного двигателя BE-4 — самого мощного из современных двигателей в США 2 ч.
Российские специалисты определили требования к командиру межпланетной миссии 3 ч.
Tesla начала принимать предзаказы на электрические грузовики Semi 3 ч.
Акционеры Intel не одобрили вознаграждение главе компании в более чем $178 млн за первый год работы 3 ч.
Илон Маск признался, что снижение цены покупки Twitter не исключается, и поставил руководству компании новое условие 3 ч.
Apple может оснастить будущий складной iPhone или iPad цветным дисплеем E-Ink 4 ч.
ASUS представила монитор ROG Strix XG27AQM EVA Edition в стиле аниме Evangelion 4 ч.