Уязвимость log4shell поставила под..

Уязвимость log4shell поставила под угрозу сервисы apple, steam, twitter, cloudflare, tesla, minecraft и множество других

Специалисты по вопросам кибербезопасности в Alibaba Cloud обнаружили опасную уязвимость, которая может позволить злоумышленникам удалённо выполнить произвольный код и взломать серверы крупнейших компаний, а также миллионы устройств в интернете. В настоящий момент выпущен патч, который исправляет данную ошибку.

Источник изображения: Gerd Altmann / pixabay.com

Уязвимость обнаружена в крайне популярном фреймворке Log4j для сбора логов, который используется многочисленными приложениями и сервисами в интернете. Известный специалист по вопросам кибербезопасности Маркус Хатчинс (Marcus Hutchins), который когда-то остановил атаку шифровальщика WannaCry, отметил, что проблема может коснуться миллионов приложений во всём интернете.

Уязвимость получила название Log4Shell и номер CVE-2021-44228 её отличительной особенностью является очень лёгкая эксплуатация. Злоумышленнику достаточно заставить приложение отправить в лог всего одну строку кода. Специалисты по безопасности в компании GreyNoise уже обнаружили множество серверов, которые ищут в интернете уязвимые системы.

По данным LunaSec, уязвимость была подтверждена для игровой платформы Steam и хранилища iCloud представители Valve и Apple пока воздерживаются от комментариев. Под угрозой также могут быть ресурсы Tencent, Twitter, CloudFlare, Amazon, Tesla, Minecraft и VMWare. Обнаружившие проблему специалисты Alibaba Cloud продемонстрировали работу эксплойта, запустив сторонний код на серверах Minecraft, просто отправив сообщение с кодом в окно чата.

Источник изображения: logging.apache.org

Технический директор Cloudflare Джон Грэм-Камминг (John Graham-Cumming) заявил, что за последние 10 лет он может вспомнить только две уязвимости такого уровня: Heartbleed, которая позволяла получать данные из памяти серверов, и Shellshock, позволявшая удалённо запускать код. Ассортимент возможных атак невероятно широк. Учитывая, что под угрозой оказались сервисы, которые сильно отличаются друг от друга, атаку можно произвести, даже закодировав строку в QR-код, который может быть отсканирован доставщиком из курьерской службы.

Уязвимой оказалась библиотека Log4j версий до 2.14.1. В настоящий момент уже выпущено обновление до версии 2.15.0, в которой она устранена. Однако, уверены некоторые эксперты, гарантии безопасности пока нет, поскольку многие компании могут рискнуть и временно оставить свои системы под угрозой, так как простой в предпраздничные недели может быть чреват потерей дохода.

Видео

Процессоры и память

stali-izvestny-kharakteristiki-core-i912950hx-core-i712850hx-i-core-i512600hx-mobilnye-cpu-na-desktopnykh-kristallakh_1.jpg

Стали известны характеристики core i9-12950hx...

  • Мар 22, 2022
  • 265

В базе данных синтетического теста Geekbench появилась информация о ещё трёх мобильных процессорах будущей серии Alder Lake-HX. Речь идёт о моделях Co...

Накопители

defitcit-serverov-mozhet-ozhidat-rossiiu-v-blizhaishie-neskolko-mesiatcev_1.jpg

Дефицит серверов может ожидать россию в ближа...

  • Мар 15, 2022
  • 342

Из-за введённых США и их союзниками санкций уже в ближайшие 3-6 месяцев Россия может ощутить нехватку серверного оборудования. По мнению экспертов, дл...

Это интересно

Наверх