15 Декабря 2021 09:44 15 Дек 2021 09:44 |

Поделиться

Брешь в Apache грозит сверхмасштабными атаками на сервисы Apple, Twitter, Minecraft

Уязвимость в Log4j

Эксперты по безопасности бьют тревогу по поводу новой критической уязвимости, обнаруженной в широко распространенной библиотеке Apache Log4j. Хакеры уже вовсю пытаются ее эксплуатировать, в то время как разработчики и специалисты по информбезопасности ищут способы ее нейтрализовать. Уязвимость, получившая название Log4Shell, уже поставила под угрозу сервисы Apple, Steam, Twitter, Tesla, Minecraft и множество других.

Log4j — это Java-библиотека для сбора логов, используемый огромным количеством различных сетевых сервисов, включая корпоративные и облачные.

Уязвимость в ней, получившая индекс CVE-2021-44228, позволяет запускать произвольный код без авторизации. Баг был выявлен экспертами по безопасности AlibabaCloud, и 24 ноября 2021 г. информация о нем была передана в Apache Foundation. Проблема затрагивает все версии Log4j с 2.0-beta9 по 2.14.1. Под угрозой — базовые конфигурации ApacheStruts2, Apache Solr, Apache Druid, Apache Flink и др. Большинство их пользователей, по-видимому, рискуют стать жертвами атак в ближайшее время.

Выявлена новая уязвимость масштабов Shellshock

Уязвимость тривиальна в эксплуатации: злоумышленнику достаточно заставить приложение отправить в лог одну строчку кода.

Эксплойты уже вовсю применяются

Неудивительно, что в Сети уже наблюдается массовое сканирование уязвимых сервисов и попытки их атаковать, преимущественно с использованием экспериментального эксплойта.

Apache Foundation уже выпустил новую версию продукта — Log4j 2.15.0, где уязвимость исправлена.

Существует также возможность нейтрализовать проблему, присвоив в системных настройках свойству log4j2.formatMsgNoLookups значение true или удалив класс Jndi Lookup из соответствующего параметра classpath.

Также меры приняла компания Mojang Studios, разработчик игры Minecraft. Уязвимость устранена в версии Minecraft: Java Edition 1.18.1, которая сейчас распространяется среди пользователей. Операторам частных серверов Minecraft: Java Edition понадобится накатить обновление самостоятельно.

Эксперты компании Cybereason представили «вакцину», которая позволит удаленно исправить уязвимость Log4Shell. Этот скрипт эксплуатирует саму же уязвимость, чтобы изменить ключевую настройку так, чтобы Log4Shell нельзя было эксплуатировать. Как отмечено в публикации Cybereason, учитывая, насколько вездесущей является баг, в некоторых сценариях такое его исправление — один из очень немногих способов спасти положение.

Оптимальным вариантом, однако, остается обновления версии Log4j до защищенной от уязвимости версии.

«Речь идет об одной из самых масштабных проблем последних месяцев: лишь две уязвимости — Heartbleed и Shellshock — сопоставимы с ней по размаху и уровню риска, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Сложно представить себе, насколько может затянуться установка обновлений, учитывая, что сейчас, в предпраздничный период, мало кто захочет приостанавливать работу своих сервисов. Однако риск огромен и нежелание упускать прибыль может обернуться катастрофическими потерями. Остается надеяться, что все обновления будут установлены в самом скором будущем».

Роман Георгиев

Поделиться

Короткая ссылка