Уязвимость Log4Shell поставила под угрозу сервисы Apple, Steam, Twitter, CloudFlare, Tesla, Minecraft и множество других
Специалисты по вопросам кибербезопасности в Alibaba Cloud обнаружили опасную уязвимость, которая может позволить злоумышленникам удалённо выполнить произвольный код и взломать серверы крупнейших компаний, а также миллионы устройств в интернете. В настоящий момент выпущен патч, который исправляет данную ошибку.
Источник изображения: Gerd Altmann / pixabay.com
Уязвимость обнаружена в крайне популярном фреймворке Log4j для сбора логов, который используется многочисленными приложениями и сервисами в интернете. Известный специалист по вопросам кибербезопасности Маркус Хатчинс (Marcus Hutchins), который когда-то остановил атаку шифровальщика WannaCry, отметил, что проблема может коснуться миллионов приложений во всём интернете.
Уязвимость получила название Log4Shell и номер CVE-2021-44228 — её отличительной особенностью является очень лёгкая эксплуатация. Злоумышленнику достаточно заставить приложение отправить в лог всего одну строку кода. Специалисты по безопасности в компании GreyNoise уже обнаружили множество серверов, которые ищут в интернете уязвимые системы.
По данным LunaSec, уязвимость была подтверждена для игровой платформы Steam и хранилища iCloud — представители Valve и Apple пока воздерживаются от комментариев. Под угрозой также могут быть ресурсы Tencent, Twitter, CloudFlare, Amazon, Tesla, Minecraft и VMWare. Обнаружившие проблему специалисты Alibaba Cloud продемонстрировали работу эксплойта, запустив сторонний код на серверах Minecraft, просто отправив сообщение с кодом в окно чата.
Источник изображения: logging.apache.org
Технический директор Cloudflare Джон Грэм-Камминг (John Graham-Cumming) заявил, что за последние 10 лет он может вспомнить только две уязвимости такого уровня: Heartbleed, которая позволяла получать данные из памяти серверов, и Shellshock, позволявшая удалённо запускать код. Ассортимент возможных атак невероятно широк. Учитывая, что под угрозой оказались сервисы, которые сильно отличаются друг от друга, атаку можно произвести, даже закодировав строку в QR-код, который может быть отсканирован доставщиком из курьерской службы.
Уязвимой оказалась библиотека Log4j версий до 2.14.1. В настоящий момент уже выпущено обновление до версии 2.15.0, в которой она устранена. Однако, уверены некоторые эксперты, гарантии безопасности пока нет, поскольку многие компании могут рискнуть и временно оставить свои системы под угрозой, так как простой в предпраздничные недели может быть чреват потерей дохода.
Читайте также
- Xiaomi представила маршрутизатор Redmi Router AX5400 с чипом Qualcomm
- Western Digital повысила цены на флеш-память NAND — это следствие загрязнения производства в январе
- 4 вида вооружения, которые отправили в Европу из-за Украины, но никогда не испытывали в деле
- Twitter позволит вешать ярлыки на ботов, чтобы люди могли отличать их от живых пользователей
- Найдена загадочная "невидимая" черная дыра: космическая аномалия
- Новая статья: Обзор игрового 4K-монитора ASUS TUF Gaming VG28UQL1A: лучше поздно, чем никогда
