Хакеры запустили более 1,2 млн атак c помощью уязвимости Log4Shell для удалённого управления компьютерами — FT Статьи редакции
От уязвимости в библиотеке для Java пострадали «сотни тысяч пользователей», рассказали специалисты.
Хакеры с помощью ранее незамеченной уязвимости в библиотеке логирования Apache Log4j воспроизводят около 100 атак в минуту на сервисы и приложения различных компаний. Об этом сообщает Finacial Times со ссылкой исследователей кибербезопасности.
Директор Агентства по кибербезопасности и безопасности инфраструктуры США (CISA) Джен Истерли рассказала, что уязвимость Log4j — «одна из самых серьёзных». По её словам, её широко используют опытные взломщики, а количество пострадавших доходит до сотни тысяч.
Специалисты также отмечают, что во многих случаях хакеры брали на себя управление компьютерами, чтобы использовать их для добычи криптовалюты или превращения систем в ботнеты — сеть, которую используют для рассылки спама или DDoS-атак. CISA выпустила предупреждение, призывающее организации внести обновления в библиотеку Log4j. Патчи уже внесли Amazon, Apple, IBM, Microsoft и Cisco.
Почти половина всех атак была совершена идентифицированными киберзлоумышленниками. К ним относятся хакерские группировки, которые используют вредоносные программы Tsunami и Mirai. Также они добавляют на все взломанные компьютеры программу для майнинга криптовалюты Monero.
Благодаря этой уязвимости злоумышленники получают почти безграничную свободу для взлома — они извлекают нужную им информацию, добавляют данные записей на сервер, удаляют их, переключаются на разные серверы или устанавливают программы-вымогатели. Нападение развернули очень быстро и просто. Возможно, что подобные хакерские атаки могут повториться не раз.
- 9 декабря служба облачной безопасности компании Alibaba обнародовала уязвимость «нулевого дня» в библиотеке журналирования log4j для языка программирования Java.
- Специалисты узнали о проблеме в ноябре, во время исследования безопасности сервера игры Minecraft. Они перехватили управление сервером, отправив сообщение в игровой чат. Первую кибератаку с использованием новой уязвимости заметили уже 1 декабря.
Хакеры могут получить удалённый контроль над приложениями и устройствами: в большинстве случаев специальные знания для такой атаки не нужны.
Кусочек кода, который привел к этой уязвимости.
Распечатаю, пожалуй, себе такую футболку.
А можно ссылку?
https://github.com/apache/logging-log4j2/commit/bac0d8a35c7e354a0d3f706569116dff6c6bd658
Красивое
Вот патч: https://github.com/apache/logging-log4j2/pull/627/files
А у тебя просто кусочек, отвечающий за информирование об ошибке лукапа.
Ну как сказать патч.. В merge другое пошло (https://github.com/apache/logging-log4j2/pull/608)
Че-то я не врубился… т.е. вместо того, чтобы парусите на тэги только шаблон, а не конечную строку, они «дали возможность отключить jndi»?
FACEPALM
Я не гуру java, но судя по files changed криво добавили исключения при десириализации. По сути код выше "// This is OK" над которым в этой ветке ржут )
По патчу на сайте mojang решение — это запрет lookup, большинство других о том же, т.е. да, отключение.
Что наворотили в новых версиях чтобы исправить не смотрел, вероятно шаблон добавили таки.
Я тоже в код не лез, но почему-то мне кажется, что ссылка вполне нормальная, раз по ней запрос уходит. Соответственно, обработка исключения не причём.