Ранее в этом месяце стало известно о наличии опасной уязвимости Log4Shell в библиотеке Log4j, распространяемой вместе с Apache Logging Project. Эксплуатация уязвимости позволяет злоумышленникам получить доступ практически к любому сервису. Серьёзность проблемы вынудила компании по всему миру, в том числе в России, провести внеплановые работы по её устранению, но, даже это вряд ли помогло полностью защититься от хакеров.

Источник изображения: Darwin Laganzon / Pixabay

Написанный на Java инструмент ведения логов Apache Log4j используется в огромном количестве программного обеспечения, поэтому проблема касается миллионов устройств по всему миру. Уязвимость затрагивает все крупнейшие IT-компании, включая Amazon, Google, Apple, IBM и др. В международной системе Common Vulnerability System опасность уязвимости Log4Shell была оценена на 10 баллов из 10 возможных. Напомним, эксплуатация уязвимости позволяет простыми средствами без особых навыков получить полный контроль над атакуемыми устройствами. Не обошла данная проблема и российские компании, многие из которых в спешном порядке провели работы, направленные на устранение упомянутой проблемы.

Основатель и генеральный диктор компании Qrator Labs Александр Лямин подтвердил, что уязвимость Log4Shell представляет серьёзную опасность. «В прошлую пятницу куча сервисов, в том числе наши клиенты, начали её исправлять. Это глобальная проблема, но в открытых источниках найти сведения о пострадавших невозможно — никто никогда не признается: в США компании боятся, что клиенты подадут на них в суд, а в России есть культурная особенность, согласно которой нельзя выглядеть уязвимым», — приводит источник слова господина Лямина.

Руководитель отдела исследований и разработки анализаторов кода Positive Technologies Владимир Кочетков рассказал, что в первые часы после публикации общедоступных данных об уязвимости Log4Shell в интернете появилось множество инструментов для автоматического поиска и атаки уязвимых целей. В компании также отметили, что сначала уязвимость активно использовалась хакерами для включения устройств в ботнет-сети, которые обычно используются для проведения DDoS-атак или скрытого майнинга. Позднее уязвимость начали эксплуатировать киберпреступники, специализирующиеся на вымогательстве и использующие шифровальщики для блокировки уязвимых устройств.

По оценкам компании Check Point Software Technologies, работающей в сфере информационно безопасности, в России уязвимость Log4Shell затронула 72 % телеком-компаний, 58 % производств и 57 % предприятий розничной и оптовой торговли. Специалисты «Лаборатории Касперского» зафиксировали более 4500 случаев, когда уязвимость Log4Shell использовалась для атак на российские компании. В Infosecurity также фиксировались многочисленные попытки злоумышленников эксплуатировать опасную уязвимость. В Group-IB не выявили ни одного случая, когда подобная атака нанесла существенный ущерб жертве.

Директор центра IT-инфраструктурных решений «Инфосистемы Джет» Илья Воронин отметил, что уязвимость в первую очередь опасна для крупных компаний, использующих тысячи приложений от разных поставщиков. Директор по безопасности «Яндекса» Антон Карпов сообщил, что компания быстро отреагировала на уязвимость благодаря средствам и инструментам мониторинга службы безопасности и технической инфраструктуры. Отмечается, что все уязвимые места были выявлены и устранены в течение нескольких часов. Работоспособность сервисов «Яндекса» и безопасность пользовательских данных не были нарушены. Также известно, что внеплановые работы по устранению уязвимости Log4Shell провели в VK (ранее Mail.ru Group). В компании отметили, что в настоящее время внутренней инфраструктуре VK ничего не угрожает.

На минувших выходных стало известно об уязвимости в инструменте журналирования Log4j для ведения логов, который как открытый код (библиотека) распространяется в составе Apache Logging Project. Уязвимость позволяет простыми средствами без необходимости в специальных навыках получать полный контроль над уязвимыми устройствами. Масштаб проблем поразил специалистов, на устранение могут уйти недели и даже месяцы.

Источник изображения: Gerd Altmann / pixabay.com

По данным ресурса Scoop News Group, директор Агентства по кибербезопасности и защите инфраструктуры США Джен Истерли (Jen Easterly) сообщила лидерам отрасли во время телефонного брифинга в понедельник, что уязвимость в широко используемой библиотеке протоколирования Log4j «является одной из самых серьёзных, которые она видела за всю свою карьеру, если не самой серьёзной».

В первые рабочие дни после выходных специалисты по безопасности очень и очень многих компаний и правительственных структур начали изучать масштаб проблемы и способы её смягчения. Пока всё выглядит так, что на устранение уязвимости уйдёт много времени, исчисляемого неделями и даже месяцами. Ситуацию усугубляют приближающиеся праздники, что ещё сильнее может затянуть процесс и потребует колоссального напряжения от специалистов по вопросам кибербезопасности и увеличения расходов на сверхурочную работу IT-отделов.

Уязвимость Log4j обнаружили и классифицировали специалисты Alibaba Cloud. Они дали ей название Log4Shell и номер CVE-2021-44228 с присвоением наивысшего класса опасности. Разработчики заранее были предупреждены о наличии уязвимости и выпустили обновлённую исправленную версию библиотеки 2.15.0. Важно отметить, что эксплойт на основе уязвимости Log4j впервые был обнаружен за 9 дней до выхода обновлённой библиотеки и до публичного раскрытия информации о ней. Атаки с её использованием начались в первых числах декабря, а массовые попытки эксплуатации зафиксированы на выходные.

Написанный на Java инструмент журналирования Apache Log4j используется в несметном числе программ. Тем самым проблема затрагивает миллионы компьютеров. Всего одна строка кода с использованием синтаксиса ${} позволяет включать команды в пользовательские агенты браузеров или другие часто регистрируемые атрибуты. При обработке заражённых логов уязвимая система загружает вредоносный скрипт из указанного злоумышленником домена и обрабатывает его, чем предоставляет удалённый доступ неавторизованному лицу. Иначе говоря, уязвимое приложение или сервер переходит под контроль злоумышленника.

По данным источников, Log4Shell уже используется для заражения уязвимых устройств вредоносами Mirai и Muhstik для установки криптомайнеров и для масштабных DDoS-атак. Также зафиксирована загрузка криптомайнера Kinsing. Уже известно об атаках на Apple iCloud и Minecraft, а Microsoft сообщила о случаях сброса маяков Cobalt Strike, что намекает о скорой атаке на серьёзные сетевые ресурсы.

Постоянно пополняемый список затронутых уязвимостью компаний и сервисов можно найти на этой страничке. Там не протолкнуться от компаний высшего звена, что ещё раз подчёркивает серьёзность опасности. Простой пользователь с этим ничего не сможет сделать. Остаётся только надеяться, что сильные мира сего осознают последствия затягивания решения проблемы и приложат все силы на её устранение.