Джен Истерли, директор Агентства по кибербезопасности и безопасности инфраструктуры США (CISA), предупредила, что недавно обнаруженная уязвимость Log4j может быть «одной из самых серьезных», которые она видела за всю свою карьеру, «если не самой серьезной».
По ее словам, уязвимость будет широко использоваться опытными взломщиками, а для того, предпринять необходимые шаги для снижения вероятности ущерба остается мало времени, сообщает популярный ресурс Techradar.
Ранее в этом месяце была обнаружена новая уязвимость удаленного выполнения кода (CVE-2021-44228) в популярном фреймворке логирования Java Log4j с огромным разрушительным потенциалом. Она позволяет злоумышленникам запускать практически любой код. Эксперты предупреждают: чтобы использовать эту уязвимость не нужны серьезные навыки. Ее сравнивают с проблемой 2017 года, которая привела к взлому Equifax, в результате которого были раскрыты личные данные почти 150 миллионов человек.
По данным Cloudflare и Cisco Talos, первые атаки с использованием Log4Shell были зафиксированы 1 и 2 декабря 2021 года, но массовые попытки эксплуатации начались на прошлых выходных,
пишет Securitylab. Через Log4Shell хакеры заражают уязвимые Linux-устройства вредоносным ПО Mirai и Muhstik, устанавливающим криптомайнеры и позволяющим осуществлять крупномасштабные DDoS-атаки. По данным специалистов компании облачной безопасности Lacework, злоумышленники также используют уязвимость для доставки на атакуемые системы криптомайнера Kinsing. В Microsoft Threat Intelligence Center считают, что уязвимость может эксплуатироваться для установки Cobalt Strike. Имеются свидетельства атак через Log4Shell на Apple iCloud и Minecraft.
Диапазон воздействий настолько широк из-за самой природы уязвимости. Разработчики используют фреймворки ведения журналов, чтобы отслеживать, что происходит в данном приложении.
По мнению экспертов из Лаборатории Касперского, злоумышленникам достаточно заставить приложение записать в лог всего одну строку, в результате чего им удастся подгрузить в приложение собственный код из-за функции message lookup substitution.
В список затронутых уязвимостью компаний входят: Apple, Tencent, Twitter, Baidu, Steam, Minecraft, Cloudflare, Amazon, Tesla, Palo Alto Networks, IBM, Pulse Secure, Ghidra, ElasticSearch, Apache, Google, Webex, LinkedIn, Cisco и VMware. Этот список постоянно обновляется.
Есть веские доказательства того, что киберпреступники начали массовое сканирование Интернета на предмет приложений, в которых эта уязвимость еще не исправлена. Эксперты считают, что Log4Shell продолжит «сеять хаос в Интернете еще долгие годы».
Apache Foundation рекомендует всем разработчикам обновить библиотеку до версии 2.15.0, а если это невозможно, воспользоваться одним из методов, описанных на странице Apache Log4j Security Vulnerabilities.
Во вторник Национальный центр кибербезопасности Великобритании опубликовал на своем сайте рекомендации по устранению уязвимости и попросил все организации сообщать об инцидентах, связанных с ней.