Grok vs ChatGPT vs Claude
Роботы за $40 млрд
Экзоскелет для подъёма в горы
iPhone 17 Air
Apple Event 19.02
Джек Дорси про алгоритмы лент
Новая Tesla Model Y
Подарить Plus
Goku+ от TikTok
Альтман про Маска
Оживление фото LumaAI
«Умная» лампа Pixar
Роботы копируют людей
Генератор дипфейков от TikTok

Уровень опасности — 10 баллов из 10: уязвимость Log4Shell угрожает миллионам серверов по всему миру

Хакеры могут получить удалённый контроль над приложениями и устройствами: в большинстве случаев специальные знания для такой атаки не нужны.

9 декабря служба облачной безопасности компании Alibaba обнародовала уязвимость «нулевого дня» в библиотеке журналирования log4j для языка программирования Java.

Java — популярный язык программирования и программная платформа. На Java написаны многие веб-приложения, программы для настольных ПК и мобильных устройств.

Apache Log4j — широко используемая библиотека регистрации данных в Java, одна из двух существующих. Она собирает информацию о событиях и ошибках, случившихся во время работы приложений, и сохраняет её в лог-файлах. Например, в веб-приложениях Log4j собирает сведения об устройствах и браузерах пользователей, а в программах для ПК и гаджетах — следит за активностью и подсчитывает время, проведённое людьми в играх.

Библиотека Log4j интегрирована в корпоративное ПО, её код встречается в программах с открытым исходным кодом, а также на серверах государственных учреждений по всему миру.

  • Уязвимость получила идентификатор CVE-2021-44228 и максимальный уровень угрозы — 10 баллов из 10 возможных. Потенциально она даёт злоумышленникам удалённый доступ к миллионам устройств в интернете, на которых работает Java.
  • Специалисты узнали о проблеме в ноябре, во время исследования безопасности сервера игры Minecraft. Они перехватили управление сервером, отправив сообщение в игровой чат. Первую кибератаку с использованием новой уязвимости заметили уже 1 декабря.

Чем эта уязвимость опасна для интернета

  • Гипотетически энтузиасты и самоучки (так называемые «скрипт киддиз») при помощи Log4Shell могут взламывать сервера крупных компаний. Профессиональное образование для этого не требуется.
  • PoC-эксплоиты, созданные после объявления об уязвимости, запускаютлюбые программы на удалённых серверах, где установлена Log4j. Хакеру нужно лишь послать запрос на атакуемый сервер, а в запросе указать путь к файлу payload, который позволит удалённо управлять им.
  • Тестирование показало, что эксплоиты делают возможной атаку даже на очень защищённые облачные сервисы, в частности, Apple iCloud, пишет исследовательская компания Lunasec. Достаточно определённым образом изменить название точки доступа и подключиться к ней с айфона, чтобы воздействовать на облачные серверы Apple, уточняет подробности атаки Greenblock.
Специалист по информационной безопасности и менеджер нидерланского подразделения «Делойт» Кас ван Кутен исследовал безопасность Apple iCloud
  • Под угрозой также оказались серверы техногигантов Google, Microsoft, Tesla, Cisco, Cloudflare, VMware, Amazon, Twitter, Steam, Tencent, Baidu и многих других. Волонтёры также ведут список уязвимого ПО: в список вошло антивирусное ПО компании ESET.
  • Кроме того, утилита журналирования подключена к популярным фреймворкам, таким как Elasticsearch, Solr и Apache Struts.
  • Исследователи выяснили, что уязвимы все версии Java, вышедшие до 11 декабря и версии Log4j от 2.0 до 2.14.1. Ситуация осложняется тем, что об уязвимости стало известно до того, как вышло обновление утилиты.

Как Log4Shell используют хакеры

  • Сразу после первых сообщений о Log4Shell компания Apache выпустила обновление, которое закрывает опасную «дыру» в утилите. Кроме того, компания Cybereason опубликовала«вакцину» для старых версий Log4j. Хакеров это не остановило.
  • Особенность Log4Shell — большое количество возможных сценариев атаки: получить доступ к нужным серверам можно даже с помощью метаданных фотографий и любых файлов, а также с помощью текста в файле robots.txt на веб-сайте и по электронной почте.
  • Взломщики используют уязвимость для установки вредоносного ПО на компьютеры жертв, пишет Securitylab. Уже известны случаи удалённой установки ПО Kinsing для майнинга криптовалюты и программ для крупномасштабные DDoS-атак с помощью ботнетов — Mirai и Muhstik.
  • Хакеры пытаются устанавливать на уязвимые системы фреймворк Cobalt Strike, выяснили в Microsoft. Он позволяет тайно контролировать компьютеры жертв даже после исправления уязвимости и впоследствии — превратить их в ботнет.
  • На Github опубликован список IP-адресов, с которых хакеры и энтузиасты проводят сканирование и пытаются эксплуатировать Log4Shell. На момент выхода этой статьи в списке 1882 адреса.

Как защищаются компании и власти

  • Log4Shell заставила IT-сообщество срочно принимать меры. Компании пытаются исправить положение с помощью обновлений ПО, изменения настроек Log4j и самописанных патчей. При этом компании называют сложившуюся ситуацию катастрофической, а уязвимость — «самой крупной и самой критической за последнее десятилетие».
  • Простейший метод защиты от Log4Shell — установка наиболее свежей версии библиотеки Log4j 2.15.0, отмечают в «Лаборатории Касперского». Пока этот текст готовился к публикации, Apache выпустила ещё один корректирующий релиз библиотеки.
  • 13 декабря стало известно, что в канадской провинции Квебек в качестве превентивной меры закрыты около 4000 государственных сайтов. Федеральное ведомство по информационной безопасности ФРГ (BSI) объявило красный уровень угрозы в связи с уязвимостью.
7272
реклама
разместить
58 комментариев

С описанием и принципом действия ясно, а где скачать можно? Хочу оценки в электронном дневнике исправить

65

Комментарий недоступен

27

А что VC?

1

Признаться честно, очканула

3

Да не очкуй ты, нормально всё будет!

3
Раскрывать всегда
«На уровне o1-pro» и «немного лучше DeepSeek»: первые впечатления от модели Grok 3 от xAI

Глава компании Илон Маск назвал Grok 3 «самым умным ИИ на Земле».

99
55
22
11
реклама
разместить
РСПП предложил ввести семейное налогообложение и индексировать пороги доходов для начисления НДФЛ

Чтобы налог рассчитывался исходя из семейного положения, а порог для прогрессивного налога рос каждый год.

4040
2323
22
11
11
11
Моё мнение такое: главное — качество, а не только количество. Увеличение рождаемости должно сопровождаться улучшением качества жизни коренного/местного населения: доступным жильём, качественным образованием, медицинским обслуживанием и поддержкой семей. Без этого рост населения может привести к увеличению бедности и социальной напряжённости, а ещё хуже — к постоянному завозу в страну большого количества мигрантов которые только сделают временный рост экономики (на бумаге) а после запустят механизм деградации. Ни один мигрант не считает себя русским человеком после получения гражданства, что подрывает развитие страны. Молодое и растущее население — это двигатель экономики! Инвестирование в рождаемость запустить процесс окупаемости для государства и даст больше трудоспособных граждан а это означает: - Увеличение потребительского спроса. - Рост налоговых поступлений. - Развитие отраслей, таких как образование, здравоохранение и строительство.
Как не испортить внедрение телефонии: кейс и чек-лист для партнёров

📞 История клиента: как переделки съели бюджет и время.

VK Education открыла набор на бесплатные образовательные программы по ИТ-специальностям

Весной 2025 года студентам будут доступны на выбор пять направлений и 25 открытых курсов.

66
22
Умер «отец Nutella» — химик Франческо Ривелла

Ему было 97 лет.

Ривелла. Источник фото: Bristol Live
7979
1111
11
Так я узнал что ТикТак и Kinder Surprise - итальянские...
Изменения моего портфеля с 1 по 17 февраля 2025 года.

С прошлого месяца ввожу новую рубрику, где помимо месячных отчетов портфеля (отчет за январь можете посмотреть тут), я собираюсь чаще выходить к вам и рассказывать об изменениях в портфелях. Продолжаю формирования портфеля с акциями и облигациями, а также на небольшие суммы пополняю крипто-портфель. Помимо этого инвестирую в реальную недвижимость,…

Изменения моего портфеля с 1 по 17 февраля 2025 года.
МТС решил «оптимизировать» затраты на принадлежащий ему видеосервис Nuum, но закрывать его не планирует — «Ведомости»

В компании подтвердили, что остановят инвестиции в контент и маркетинг и не будут разрабатывать новые функции.

1212
Так все узнали, что есть какой-то Nuum
[]