В библиотеке Java обнаружили уязвимость, угрожающую миллионам серверов по всему миру. С помощью одной строки кода злоумышленники могут перехватить над ними контроль
Критическая уязвимость в Java, в библиотеке log4j, которая используется в тысячах сервисов, начиная от Minecraft и заканчивая Apple Cloud, быстро превращается в серьезную угрозу для организаций по всему миру. Уязвимости подвержены сервера Apple, Valve, Microsoft и других.
Как пишет TechCrunch, для использования уязвимости злоумышленникам не нужно обладать глубокими знаниями в информационной безопасности — достаточно добавить лишь одну строку в логи веб-сервера, после чего станет возможным импортировать любое вредоносное программное обеспечение. Таким образом, до тех пор, пока уязвимость не будет закрыта обновлением, у злоумышленников появляется возможность взломов даже хорошо защищенных облачных сервисов крупных компаний.
Уязвимость получила 10 баллов по десятибалльной шкале угроз от Apache Software Foundation. В компании Tenable, занимающейся кибербезопасностью, уязвимость назвали «возможно, самой большой в истории современных компьютеров». Директор по безопасности Cloudflare заявил, что ему «сложно представить себе компанию, для которой это не риск».
Уязвимость обнаружили во время тестов безопасности серверов Minecraft. Разработчикам стало известно о ней 24 ноября, но обновление Log4j, исправляющее уязвимость, появилось только 6 декабря. Тем временем, взломщики уже начали использовать уязвимость для установки удаленного вредоносного ПО на чужие компьютеры — например, для майнинга криптовалют или для использования при DDoS-атаках. При этом на полное устранение уязвимости на всех серверах потребуется значительное время — речь может идти о неделях или даже о месяцах.
Уязвимость позволяет злоумышленникам удаленно выполнять код на уязвимых серверах, давая им возможность импортировать вредоносное ПО, которое может полностью скомпрометировать любые машины.
Уязвимость обнаружена в log4j, библиотеке логирования Java-программ с открытым исходным кодом.
Почти каждая сетевая система безопасности запускает какой-то процесс регистрации, что дает огромные возможности популярным библиотекам, таким как log4j. Затронуты все системы и службы, использующие библиотеку логирования Java, Apache Log4j между версиями 2.0 и 2.14.1, включая многие службы и приложения, написанные на Java.
Джо Салливан, директор по безопасности Cloudflare:
Мне сложно представить себе компанию, для которой это не риск. Неисчислимые миллионы серверов работают с log4j, полные последствия не будут известны в течение нескольких дней.
Амит Йоран, гендиректор компании Tenable, занимающейся кибербезопасностью, назвал Log4Shell «самой большой и самой критической уязвимостью последнего десятилетия». «и, возможно, самой большой в истории современных компьютеров».
Уязвимость получила 10 баллов из 10 от Apache Software Foundation, которая курирует разработку ПО. По ее словам, любой, у кого есть информация об эксплойте, может получить полный доступ к незащищенному компьютеру, который использует это программное обеспечение.
По словам экспертов, чрезвычайная легкость, с которой уязвимость позволяет злоумышленнику получить доступ к веб-серверу без пароля, — вот что делает уязвимость настолько опасной.
Одной из первых публично об обнаружении уязвимости рассказала группа реагирования на чрезвычайные компьютерные ситуации Новой Зеландии. Тогда же, в четверг, через несколько часов был выпущен патч. Apache об уязвимости, обнаруженной в её ПО, еще 24 ноября сообщила Alibaba. На разработку и выпуск фикса ушло две недели.
Хотя патч сейчас и выпущен, мало кто знает о наличии уязвимости (за исключением злоумышленников), поэтому многие сервера остаются уязвимыми. Так, как сообщает LunaSec, уже обнаружено, что Steam и iCloud от Apple сейчас уязвимы.
А первые очевидные признаки использования уязвимости появились в Minecraft. Игроки могли включать выполнение программ на компьютерах других пользователей, вставляя короткое сообщение в окно чата.
Эксперт по безопасности Маркус Хатчинс говорит в Твиттере:
Миллионы приложений используют Log4j для ведения журналов, и все, что нужно сделать злоумышленнику — это заставить приложение зарегистрировать специальную строку.
Пока что исследователи обнаружили доказательства того, что уязвимость может быть использована на серверах таких компаний, как Apple, Amazon, Twitter и Cloudflare.
Апдейт для библиотеки log4j можно найти здесь
Проверить свои машины на уязвимость можно тут.
Почему CVE-2021-44228 настолько опасна
CVE-2021-44228, также называемый Log4Shell или Logjam, является уязвимостью класса выполнения удаленного кода (RCE). Если злоумышленники удается использовать его на одном из серверов, они получают возможность выполнить произвольный код и потенциально принять полный контроль над системой.
Что делает CVE-2021-44228 особенно опасной, является простота эксплуатации: даже неопытный хакер может успешно выполнить атаку с использованием этой уязвимости. По словам исследователей, злоумышленники нужно только заставить приложение писать только одну строку в журнал, и после этого они могут загружать свой собственный код в приложение из-за функции замены поиска сообщений.
тэги: HELPSOC инкогнитам, ink, угрозы безопасности, эксплойт apache, апачи эксплойт, неопытный хакер, злоумышленники, загружать свой собственный код в приложение, CVE-2021-44228, также называемый Log4Shell или Logjam,
tags: HELPSOC инкогнитам, ink, угрозы безопасности, эксплойт apache, апачи эксплойт, неопытный хакер, злоумышленники, загружать свой собственный код в приложение, CVE-2021-44228, также называемый Log4Shell или Logjam,