Уровень опасности — 10 баллов из 10: уязвимость Log4Shell угрожает миллионам серверов по всему миру Статьи редакции
Хакеры могут получить удалённый контроль над приложениями и устройствами: в большинстве случаев специальные знания для такой атаки не нужны.
9 декабря служба облачной безопасности компании Alibaba обнародовала уязвимость «нулевого дня» в библиотеке журналирования log4j для языка программирования Java.
Java — популярный язык программирования и программная платформа. На Java написаны многие веб-приложения, программы для настольных ПК и мобильных устройств.
Apache Log4j — широко используемая библиотека регистрации данных в Java, одна из двух существующих. Она собирает информацию о событиях и ошибках, случившихся во время работы приложений, и сохраняет её в лог-файлах. Например, в веб-приложениях Log4j собирает сведения об устройствах и браузерах пользователей, а в программах для ПК и гаджетах — следит за активностью и подсчитывает время, проведённое людьми в играх.
Библиотека Log4j интегрирована в корпоративное ПО, её код встречается в программах с открытым исходным кодом, а также на серверах государственных учреждений по всему миру.
- Уязвимость получила идентификатор CVE-2021-44228 и максимальный уровень угрозы — 10 баллов из 10 возможных. Потенциально она даёт злоумышленникам удалённый доступ к миллионам устройств в интернете, на которых работает Java.
- Специалисты узнали о проблеме в ноябре, во время исследования безопасности сервера игры Minecraft. Они перехватили управление сервером, отправив сообщение в игровой чат. Первую кибератаку с использованием новой уязвимости заметили уже 1 декабря.
Чем эта уязвимость опасна для интернета
- Гипотетически энтузиасты и самоучки (так называемые «скрипт киддиз») при помощи Log4Shell могут взламывать сервера крупных компаний. Профессиональное образование для этого не требуется.
- PoC-эксплоиты, созданные после объявления об уязвимости, запускаютлюбые программы на удалённых серверах, где установлена Log4j. Хакеру нужно лишь послать запрос на атакуемый сервер, а в запросе указать путь к файлу payload, который позволит удалённо управлять им.
- Тестирование показало, что эксплоиты делают возможной атаку даже на очень защищённые облачные сервисы, в частности, Apple iCloud, пишет исследовательская компания Lunasec. Достаточно определённым образом изменить название точки доступа и подключиться к ней с айфона, чтобы воздействовать на облачные серверы Apple, уточняет подробности атаки Greenblock.
- Под угрозой также оказались серверы техногигантов Google, Microsoft, Tesla, Cisco, Cloudflare, VMware, Amazon, Twitter, Steam, Tencent, Baidu и многих других. Волонтёры также ведут список уязвимого ПО: в список вошло антивирусное ПО компании ESET.
- Кроме того, утилита журналирования подключена к популярным фреймворкам, таким как Elasticsearch, Solr и Apache Struts.
- Исследователи выяснили, что уязвимы все версии Java, вышедшие до 11 декабря и версии Log4j от 2.0 до 2.14.1. Ситуация осложняется тем, что об уязвимости стало известно до того, как вышло обновление утилиты.
Как Log4Shell используют хакеры
- Сразу после первых сообщений о Log4Shell компания Apache выпустила обновление, которое закрывает опасную «дыру» в утилите. Кроме того, компания Cybereason опубликовала«вакцину» для старых версий Log4j. Хакеров это не остановило.
- Особенность Log4Shell — большое количество возможных сценариев атаки: получить доступ к нужным серверам можно даже с помощью метаданных фотографий и любых файлов, а также с помощью текста в файле robots.txt на веб-сайте и по электронной почте.
- Взломщики используют уязвимость для установки вредоносного ПО на компьютеры жертв, пишет Securitylab. Уже известны случаи удалённой установки ПО Kinsing для майнинга криптовалюты и программ для крупномасштабные DDoS-атак с помощью ботнетов — Mirai и Muhstik.
- Хакеры пытаются устанавливать на уязвимые системы фреймворк Cobalt Strike, выяснили в Microsoft. Он позволяет тайно контролировать компьютеры жертв даже после исправления уязвимости и впоследствии — превратить их в ботнет.
- На Github опубликован список IP-адресов, с которых хакеры и энтузиасты проводят сканирование и пытаются эксплуатировать Log4Shell. На момент выхода этой статьи в списке 1882 адреса.
Как защищаются компании и власти
- Log4Shell заставила IT-сообщество срочно принимать меры. Компании пытаются исправить положение с помощью обновлений ПО, изменения настроек Log4j и самописанных патчей. При этом компании называют сложившуюся ситуацию катастрофической, а уязвимость — «самой крупной и самой критической за последнее десятилетие».
- Простейший метод защиты от Log4Shell — установка наиболее свежей версии библиотеки Log4j 2.15.0, отмечают в «Лаборатории Касперского». Пока этот текст готовился к публикации, Apache выпустила ещё один корректирующий релиз библиотеки.
- 13 декабря стало известно, что в канадской провинции Квебек в качестве превентивной меры закрыты около 4000 государственных сайтов. Федеральное ведомство по информационной безопасности ФРГ (BSI) объявило красный уровень угрозы в связи с уязвимостью.
С описанием и принципом действия ясно, а где скачать можно? Хочу оценки в электронном дневнике исправить
Картинка для ложного ощущения масштаба 🙂
А что VC?
PHP
Признаться честно, очканула
Да не очкуй ты, нормально всё будет!
А у вас какая версия log4j установлена?)
И как вы себя чувствуете? Лучше?
Когда заплатки выпускают быстрее, чем новостники пишут новости об этом
Выпустили не значит установили , но эт радует
Какую-то чушь написали, лог4дж обычная либа-логгер, ничего она не регистрирует и ни за чем не следит, это лишь обёртка чтоб логи писать удобнее.
В лог4дж был форматер, который позволял при логировании выволнять кусок кода (типа шаблонов), уязвимость сосоит в том, что туда подсовывают текст с ссылкой в интернет на java класс. В итоге из-за недостаточной проверки текста, лог4дж загружает этот класс и выполняет его
Специально для минусующих долбоёбов цитата
«Например, в веб-приложениях Log4j собирает сведения об устройствах и браузерах пользователей, а в программах для ПК и гаджетах — следит за активностью и подсчитывает время, проведённое людьми в играх.»
Теперь расскажите мне, как именно этот сраный логгер "собирает сведения о пользователях" и "следит за активностью" блеать
Гипотетически.
А не гипотетически воспользоваться ей сможет два с половиной человека, потому что остальным можно выдать рут на сервере и сломать/похитить они все равно ничего не смогут. Так что все на уровне обычных уязвимостей.
В 2021 никому рут доступ на сервере не нужен. Потому что все крутится внутри Докера (там кстати рут есть, но он бесполезен).
Ценность представляет то, что можно делать вызовы ко внутренним системам от имени сервера. Можно читать любые данные доступные сервису. Можно менять любые данные к которым есть доступ у сервиса. А самое главное - можно точно так же заражать другие сервисы. И продвигаться дальше, вглубь системы.
Это вы зря так думаете! У нас один разраб забыл поменять порт 5060, кто не в курсе это дефолтный sip порт. На следующий день провайдер отрубил компании связь, потому что очень активно сливалось бабло. Но успели наговорить на 100к. Так что и здесь возможно всякое
Нет.
Я бы сказал так:
как правило, чтобы заюзать супер-пупер уязвимость, которая затрагивает миллионы устройств - нужно обладать очень сильными знаниями. Ну вот так складывается.
В данном случае воспользоваться ею проще, но: не настолько проще, как это говорят в статье.
Странно, что такую ценную информацию вообще опубликовали. Это же просто находка для интернет разведки. Самое интересное, что никто понятия не имеет как это исправить.
Предупреждён = вооружён. Те кому надо увидят и патчи накатят, те, кому не надо, скорее всего и без этого проблем на проекте имеют
Как это понятия не имеет? Обновить библиотеку.
Какая ценная информация? Это не хитроумная уязвимость, а включенное по умолчанию выполнение классов по урлу.
Этой дыре 10 лет. С ней много лет весь мир жил и вполне вероятно, что кто-то о ней давно знал и использовал в своих целях. Сейчас просто приличные люди нашли эту дыру и подняли тревогу.
Комментарий недоступен
Тут так не пройдёт, потому что уязвимость в шелле была вероятностной, а тут прямой контроль
Мда
Комментарий удален модератором