Уровень опасности — 10 баллов из 10: уязвимость Log4Shell угрожает миллионам серверов по всему миру

Злоумышленники могут получить удалённый контроль над серверами и веб-приложениями, а также компьютерами и гаджетами пользователей: в большинстве случаев специальные знания для такой атаки не нужны.

9 декабря служба облачной безопасности компании Alibaba обнародовала уязвимость «нулевого дня» в библиотеке журналирования log4j для языка программирования Java.

Java — популярный язык программирования и программная платформа. На Java написаны многие веб-приложения, программы для настольных ПК и мобильных устройств.
Apache Log4j — широко используемая библиотека регистрации данных в Java, одна из двух существующих. Она собирает информацию о событиях и ошибках, случившихся во время работы приложений, и сохраняет её в лог-файлах. Например, в веб-приложениях Log4j собирает сведения об устройствах и браузерах пользователей, а в программах для ПК и гаджетах — следит за активностью и подсчитывает время, проведённое людьми в играх.
Библиотека Log4j интегрирована в корпоративное ПО, её код встречается в программах с открытым исходным кодом, а также на серверах государственных учреждений по всему миру.

Уязвимость получила идентификатор CVE-2021-44228 и максимальный уровень угрозы — 10 баллов из 10 возможных. Потенциально она даёт злоумышленникам удалённый доступ к миллионам устройств в интернете, на которых работает Java.
Специалисты узнали о проблеме в ноябре, во время исследования безопасности сервера игры Minecraft. Они перехватили управление сервером, отправив сообщение в игровой чат. Первую кибератаку с использованием новой уязвимости заметили уже 1 декабря.

Гипотетически энтузиасты и самоучки (так называемые «скрипт киддиз») при помощи Log4Shell могут взламывать сервера крупных компаний. Профессиональное образование для этого не требуется.

PoC-эксплоиты, созданные после объявления об уязвимости, запускают любые программы на удалённых серверах, где установлена Log4j. Хакеру нужно лишь послать запрос на атакуемый сервер, а в запросе указать путь к файлу payload, который позволит удалённо управлять им.

Тестирование показало, что эксплоиты делают возможной атаку даже на очень защищённые облачные сервисы, в частности, Apple iCloud, пишет исследовательская компания Lunasec. Достаточно определённым образом изменить название точки доступа и подключиться к ней с айфона, чтобы воздействовать на облачные серверы Apple, уточняет подробности атаки Greenblock.

Под угрозой также оказались серверы техногигантов Google, Microsoft, Tesla, Cisco, Cloudflare, VMware, Amazon, Twitter, Steam, Tencent, Baidu и многих других. Волонтёры также ведут список уязвимого ПО: в список вошло антивирусное ПО компании ESET.
Кроме того, утилита журналирования подключена к популярным фреймворкам, таким как Elasticsearch, Solr и Apache Struts.
Исследователи выяснили, что уязвимы все версии Java, вышедшие до 11 декабря и версии Log4j от 2.0 до 2.14.1. Ситуация осложняется тем, что об уязвимости стало известно до того, как вышло обновление утилиты.

Сразу после первых сообщений о Log4Shell компания Apache выпустила обновление, которое закрывает опасную «дыру» в утилите. Кроме того, компания Cybereason опубликовала «вакцину» для старых версий Log4j. Хакеров это не остановило.
Особенность Log4Shell — большое количество возможных сценариев атаки: получить доступ к нужным серверам можно даже с помощью метаданных фотографий и любых файлов, а также с помощью текста в файле robots.txt на веб-сайте и по электронной почте.
Взломщики используют уязвимость для установки вредоносного ПО на компьютеры жертв, пишет Securitylab. Уже известны случаи удалённой установки ПО Kinsing для майнинга криптовалюты и программ для крупномасштабные DDoS-атак с помощью ботнетов — Mirai и Muhstik.
Хакеры пытаются устанавливать на уязвимые системы фреймворк Cobalt Strike, выяснили в Microsoft. Он позволяет тайно контролировать компьютеры жертв даже после исправления уязвимости и впоследствии — превратить их в ботнет.
На Github опубликован список IP-адресов, с которых хакеры и энтузиасты проводят сканирование и пытаются эксплуатировать Log4Shell. На момент выхода этой статьи в списке 1882 адреса.

Log4Shell заставила IT-сообщество срочно принимать меры. Компании пытаются исправить положение с помощью обновлений ПО, изменения настроек Log4j и самописанных патчей. При этом компании называют сложившуюся ситуацию катастрофической, а уязвимость — «самой крупной и самой критической за последнее десятилетие».
Простейший метод защиты от Log4Shell — установка наиболее свежей версии библиотеки Log4j 2.15.0, отмечают в «Лаборатории Касперского». Пока этот текст готовился к публикации, Apache выпустила ещё один корректирующий релиз библиотеки.
13 декабря стало известно, что в канадской провинции Квебек в качестве превентивной меры закрыты около 4000 государственных сайтов. Федеральное ведомство по информационной безопасности ФРГ (BSI) объявило красный уровень угрозы в связи с уязвимостью.

#уязвимости #безопасность #java #новости

91 комментарий

Александр

14.12.2021

Ответить

ghost4luck

По новому воспринимается старая добрая надпись про количество девайсов)

zedalert

Но лишь малая их часть использует log4j.

Vladislav Vassilevskiy

Пошел собирать пацанов для атаки серверов ДТФ, давно пора эту помойку закрыть. Наши требования: черная тема и голова Вадима. Пока наши требования не будут исполнены мы будем атаковать сервера ДТФ используя эту уязвимость.