Роботы за $40 млрд
«Оживить» Стива Джобса
Экзоскелет для подъёма в горы
iPhone 17 Air
Apple Event 19.02
Джек Дорси про алгоритмы лент
Новая Tesla Model Y
Подарить Plus
Goku+ от TikTok
Альтман про Маска
Оживление фото LumaAI
«Умная» лампа Pixar
Роботы копируют людей
Генератор дипфейков от TikTok

Хакеры запустили более 1,2 млн атак c помощью уязвимости Log4Shell для удалённого управления компьютерами — FT

От уязвимости в библиотеке для Java пострадали «сотни тысяч пользователей», рассказали специалисты.

Хакеры с помощью ранее незамеченной уязвимости в библиотеке логирования Apache Log4j воспроизводят около 100 атак в минуту на сервисы и приложения различных компаний. Об этом сообщает Finacial Times со ссылкой исследователей кибербезопасности.

Директор Агентства по кибербезопасности и безопасности инфраструктуры США (CISA) Джен Истерли рассказала, что уязвимость Log4j — «одна из самых серьёзных». По её словам, её широко используют опытные взломщики, а количество пострадавших доходит до сотни тысяч.

Специалисты также отмечают, что во многих случаях хакеры брали на себя управление компьютерами, чтобы использовать их для добычи криптовалюты или превращения систем в ботнеты — сеть, которую используют для рассылки спама или DDoS-атак. CISA выпустила предупреждение, призывающее организации внести обновления в библиотеку Log4j. Патчи уже внесли Amazon, Apple, IBM, Microsoft и Cisco.

Почти половина всех атак была совершена идентифицированными киберзлоумышленниками. К ним относятся хакерские группировки, которые используют вредоносные программы Tsunami и Mirai. Также они добавляют на все взломанные компьютеры программу для майнинга криптовалюты Monero.

Благодаря этой уязвимости злоумышленники получают почти безграничную свободу для взлома — они извлекают нужную им информацию, добавляют данные записей на сервер, удаляют их, переключаются на разные серверы или устанавливают программы-вымогатели. Нападение развернули очень быстро и просто. Возможно, что подобные хакерские атаки могут повториться не раз.

Николас Шиберрас, руководитель инженерного отдела поиска уязвимостей Acunetix
  • 9 декабря служба облачной безопасности компании Alibaba обнародовала уязвимость «нулевого дня» в библиотеке журналирования log4j для языка программирования Java.
  • Специалисты узнали о проблеме в ноябре, во время исследования безопасности сервера игры Minecraft. Они перехватили управление сервером, отправив сообщение в игровой чат. Первую кибератаку с использованием новой уязвимости заметили уже 1 декабря.
1616
реклама
разместить
72 комментария

Кусочек кода, который привел к этой уязвимости.
Распечатаю, пожалуй, себе такую футболку.

35

Комментарий недоступен

12

А можно ссылку?

1

Объясните, пожалуйста, на пальцах, что с этим делать? как это можно эксплуатировать?
Из ссылки в статье:
An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled.

Не так. Проблема не здесь. Ваш код из патча, который как раз исправляет уязвимость, 10 дней назад: https://github.com/apache/logging-log4j2/commit/d82b47c6fae9c15fcb183170394d5f1a01ac02d3#diff-fbf7728aed844d20952a2502d3c21de0b23e19f4b3f2dc0b94c1b77bf6c96b6f Просто видимо торопились.

1

Как мать его этот код позволяет получить управление сервером. Решето кругом

Раскрывать всегда
РСПП предложил ввести семейное налогообложение и индексировать пороги доходов для начисления НДФЛ

Чтобы налог рассчитывался исходя из семейного положения, а порог для прогрессивного налога рос каждый год.

4040
2323
22
11
11
11
Моё мнение такое: главное — качество, а не только количество. Увеличение рождаемости должно сопровождаться улучшением качества жизни коренного/местного населения: доступным жильём, качественным образованием, медицинским обслуживанием и поддержкой семей. Без этого рост населения может привести к увеличению бедности и социальной напряжённости, а ещё хуже — к постоянному завозу в страну большого количества мигрантов которые только сделают временный рост экономики (на бумаге) а после запустят механизм деградации. Ни один мигрант не считает себя русским человеком после получения гражданства, что подрывает развитие страны. Молодое и растущее население — это двигатель экономики! Инвестирование в рождаемость запустить процесс окупаемости для государства и даст больше трудоспособных граждан а это означает: - Увеличение потребительского спроса. - Рост налоговых поступлений. - Развитие отраслей, таких как образование, здравоохранение и строительство.
реклама
разместить
Huawei анонсировала старт продаж «раскладушки» с тремя экранами Mate XT за пределами Китая — в России открыли предзаказы по цене 340 тысяч рублей

На презентации компания объявила цене в €3499.

Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.gsmarena.com%2Fhuawei_mate_xt_handson_review-news-64607.php&postId=1819978" rel="nofollow noreferrer noopener" target="_blank">Gsmarena</a>
1515
1313
22
11
Круто, конечно. Однако, за эти деньги можно купить ноутбук игровой и флагманский смартфон + планшет :) Просто как proof of concept - хорошо.
Чему учиться социальным предпринимателям в 2025 году

Какие навыки необходимо осваивать сегодня? Поговорим не только о профессиональных знаниях, но и о том, без чего сложно развиваться не только предпринимателю

Чему учиться социальным предпринимателям в 2025 году
55
Оценка Safe Superintelligence Ильи Суцкевера выросла до $30 млрд в ходе переговоров об инвестициях — Bloomberg

В сентябре 2024 года стартап оценивали в $5 млрд.

Гросс, Суцкевер и Леви. Источник: Reuters
44
22
22
11
Администрация Трампа уволит «сотни» сотрудников авиарегулятора FAA и направит туда специалистов SpaceX для консультаций по безопасности

Федеральное управление гражданской авиации (FAA) находится в центре внимания после столкновения вертолёта и самолёта над Вашингтоном.

Источник фото: CNN
77
33
11
Чем занимается HR-менеджер на этапе оценки и развития персонала
Чем занимается HR-менеджер на этапе оценки и развития персонала
VK Education открыла набор на бесплатные образовательные программы по ИТ-специальностям

Весной 2025 года студентам будут доступны на выбор пять направлений и 25 открытых курсов.

66
22
[]