Log4Shell назвали угрозой компьютерам и гаджетам по всему миру
В библиотеке журналирования log4j, широко используемой приложениями и сервисами в интернете, обнаружена уязвимость под названием Log4Shell, с помощью которой злоумышленники могут запросто получить удаленный контроль над серверами и веб-приложениями, а также компьютерами и гаджетами пользователей.
9 декабря служба облачной безопасности компании Alibaba обнаружила такую уязвимость для языка программирования Java, передает TJ.
Сообщается, что уязвимость получила идентификатор CVE-2021-44228 и максимальный уровень угрозы - 10 баллов из 10 возможных.
Потенциально она дает злоумышленникам удаленный доступ к миллионам программ в интернете, которые работают на Java.
Отмечается, что специалисты узнали о проблеме в ноябре, во время исследования безопасности сервера игры Minecraft. Они перехватили управление сервером, отправив сообщение в игровой чат. Первую кибератаку с использованием новой уязвимости заметили уже 1 декабря.
Сообщается, что при помощи Log4Shell даже самоучки могут взламывать сервера крупных компаний.
Чтобы воспользоваться уязвимостью, злоумышленник должен заставить приложение сохранить в журнале специальную строку символов.
Поскольку приложения регулярно регистрируют широкий спектр событий, таких как отправленные и полученные пользователями сообщения или подробные сведения о системных ошибках, уязвимость необычайно проста в использовании и может быть вызвана различными способами.
Теоретически эксплойт может быть реализован даже физически, путем сокрытия строки символов в QR-коде.
Уже вышло обновление библиотеки log4j, устраняющее данную уязвимость. Но с учетом того, что обновление всех уязвимых систем в интернете требует немало времени, Log4Shell остается серьезной угрозой.
Компании пытаются исправить положение с помощью обновлений ПО, изменения настроек Log4j и самописанных патчей. При этом компании называют сложившуюся ситуацию катастрофической, а уязвимость - "самой крупной и самой критической за последнее десятилетие".