27/03/2024

helpsoc

”helpsoc inform social agency, Sociālais info dienests ”rus-EC-latvija-word news, rus,multilang press"

Уязвимость в логах apache jawa и Log4j взорвали интернет сообщество мира

В библиотеке Java обнаружили уязвимость, угрожающую миллионам серверов по всему миру. С помощью одной строки кода злоумышленники могут перехватить над ними контроль Библиотека Log4j собирает информацию об ошибках и других событиях, произошедших во время работы приложений, и сохраняет ее в логах. Эту библиотеку используют миллионы программ, игр, облачных серверов и корпоративных приложений, в том числе от крупнейших производителей — Amazon, Apple, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam.

В библиотеке Java обнаружили уязвимость, угрожающую миллионам серверов по всему миру. С помощью одной строки кода злоумышленники могут перехватить над ними контроль

Критическая уязвимость в Java, в библиотеке log4j, которая используется в тысячах сервисов, начиная от Minecraft и заканчивая Apple Cloud, быстро превращается в серьезную угрозу для организаций по всему миру. Уязвимости подвержены сервера Apple, Valve, Microsoft и других.

Как пишет TechCrunch, для использования уязвимости злоумышленникам не нужно обладать глубокими знаниями в информационной безопасности — достаточно добавить лишь одну строку в логи веб-сервера, после чего станет возможным импортировать любое вредоносное программное обеспечение. Таким образом, до тех пор, пока уязвимость не будет закрыта обновлением, у злоумышленников появляется возможность взломов даже хорошо защищенных облачных сервисов крупных компаний.

Уязвимость получила 10 баллов по десятибалльной шкале угроз от Apache Software Foundation. В компании Tenable, занимающейся кибербезопасностью, уязвимость назвали «возможно, самой большой в истории современных компьютеров». Директор по безопасности Cloudflare заявил, что ему «сложно представить себе компанию, для которой это не риск».

Уязвимость обнаружили во время тестов безопасности серверов Minecraft. Разработчикам стало известно о ней 24 ноября, но обновление Log4j, исправляющее уязвимость, появилось только 6 декабря. Тем временем, взломщики уже начали использовать уязвимость для установки удаленного вредоносного ПО на чужие компьютеры — например, для майнинга криптовалют или для использования при DDoS-атаках. При этом на полное устранение уязвимости на всех серверах потребуется значительное время — речь может идти о неделях или даже о месяцах.

 

Уязвимость позволяет злоумышленникам удаленно выполнять код на уязвимых серверах, давая им возможность импортировать вредоносное ПО, которое может полностью скомпрометировать любые машины.

Уязвимость обнаружена в log4j, библиотеке логирования Java-программ с открытым исходным кодом.

Почти каждая сетевая система безопасности запускает какой-то процесс регистрации, что дает огромные возможности популярным библиотекам, таким как log4j. Затронуты все системы и службы, использующие библиотеку логирования Java, Apache Log4j между версиями 2.0 и 2.14.1, включая многие службы и приложения, написанные на Java.

 

Джо Салливан, директор по безопасности Cloudflare:

Мне сложно представить себе компанию, для которой это не риск. Неисчислимые миллионы серверов работают с log4j, полные последствия не будут известны в течение нескольких дней.

Амит Йоран, гендиректор компании Tenable, занимающейся кибербезопасностью, назвал Log4Shell «самой большой и самой критической уязвимостью последнего десятилетия». «и, возможно, самой большой в истории современных компьютеров».

 

Уязвимость получила 10 баллов из 10 от Apache Software Foundation, которая курирует разработку ПО. По ее словам, любой, у кого есть информация об эксплойте, может получить полный доступ к незащищенному компьютеру, который использует это программное обеспечение.

По словам экспертов, чрезвычайная легкость, с которой уязвимость позволяет злоумышленнику получить доступ к веб-серверу без пароля, — вот что делает уязвимость настолько опасной.

Одной из первых публично об обнаружении уязвимости рассказала группа реагирования на чрезвычайные компьютерные ситуации Новой Зеландии. Тогда же, в четверг, через несколько часов был выпущен патч. Apache об уязвимости, обнаруженной в её ПО, еще 24 ноября сообщила Alibaba. На разработку и выпуск фикса ушло две недели.

Хотя патч сейчас и выпущен, мало кто знает о наличии уязвимости (за исключением злоумышленников), поэтому многие сервера остаются уязвимыми. Так, как сообщает LunaSec, уже обнаружено, что Steam и iCloud от Apple сейчас уязвимы.

А первые очевидные признаки использования уязвимости появились в Minecraft. Игроки могли включать выполнение программ на компьютерах других пользователей, вставляя короткое сообщение в окно чата.

Эксперт по безопасности Маркус Хатчинс говорит в Твиттере:

Миллионы приложений используют Log4j для ведения журналов, и все, что нужно сделать злоумышленнику — это заставить приложение зарегистрировать специальную строку.

Пока что исследователи обнаружили доказательства того, что уязвимость может быть использована на серверах таких компаний, как Apple, Amazon, Twitter и Cloudflare.

Апдейт для библиотеки log4j можно найти здесь
Проверить свои машины на уязвимость можно тут.

 

Почему CVE-2021-44228 настолько опасна

CVE-2021-44228, также называемый Log4Shell или Logjam, является уязвимостью класса выполнения удаленного кода (RCE). Если злоумышленники удается использовать его на одном из серверов, они получают возможность выполнить произвольный код и потенциально принять полный контроль над системой.

Что делает CVE-2021-44228 особенно опасной, является простота эксплуатации: даже неопытный хакер может успешно выполнить атаку с использованием этой уязвимости. По словам исследователей, злоумышленники нужно только заставить приложение писать только одну строку в журнал, и после этого они могут загружать свой собственный код в приложение из-за функции замены поиска сообщений.

тэги: HELPSOC инкогнитам, ink, угрозы безопасности, эксплойт apache, апачи эксплойт, неопытный хакер, злоумышленники, загружать свой собственный код в приложение, CVE-2021-44228, также называемый Log4Shell или Logjam,

tags: HELPSOC инкогнитам, ink, угрозы безопасности, эксплойт apache, апачи эксплойт, неопытный хакер, злоумышленники, загружать свой собственный код в приложение, CVE-2021-44228, также называемый Log4Shell или Logjam,

HELPSOC