В программной библиотеке Log4j, которая используется в работе многих Java-программ, обнаружили критическую уязвимость, которая может дать возможность злоумышленникам получить удаленный контроль над серверами по всему миру. Уязвимость получила идентификатор CVE-2021-44228.
Библиотека Log4j собирает информацию об ошибках и других событиях, произошедших во время работы приложений, и сохраняет ее в логах. Эту библиотеку используют миллионы программ, игр, облачных серверов и корпоративных приложений, в том числе от крупнейших производителей — Amazon, Apple, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam.
Как пишет TechCrunch, для использования уязвимости злоумышленникам не нужно обладать глубокими знаниями в информационной безопасности — достаточно добавить лишь одну строку в логи веб-сервера, после чего станет возможным импортировать любое вредоносное программное обеспечение. Таким образом, до тех пор, пока уязвимость не будет закрыта обновлением, у злоумышленников появляется возможность взломов даже хорошо защищенных облачных сервисов крупных компаний.
Уязвимость получила 10 баллов по десятибалльной шкале угроз от Apache Software Foundation. В компании Tenable, занимающейся кибербезопасностью, уязвимость назвали «возможно, самой большой в истории современных компьютеров». Директор по безопасности Cloudflare заявил, что ему «сложно представить себе компанию, для которой это не риск».
Уязвимость обнаружили во время тестов безопасности серверов Minecraft. Разработчикам стало известно о ней 24 ноября, но обновление Log4j, исправляющее уязвимость, появилось только 6 декабря. Тем временем, взломщики уже начали использовать уязвимость для установки удаленного вредоносного ПО на чужие компьютеры — например, для майнинга криптовалют или для использования при DDoS-атаках. При этом на полное устранение уязвимости на всех серверах потребуется значительное время — речь может идти о неделях или даже о месяцах.
Читайте также
- В менеджере паролей «Лаборатории Касперского» исправили серьезную уязвимость Когда пользователи в одну и ту же секунду создавали пароль, он получался одинаковым — и его можно было подобрать
- В старой iOS нашли уязвимость, которая позволяет удаленно управлять чужим телефоном. Для этого жертве достаточно подключиться к общей с хакером сети WiFi
- Возвращение джейлбрейка: большая часть iOS-устройств оказалась подвержена уязвимости, которую Apple не сможет устранить
Фото на обложке: Mohammad Rahmani / Unsplash