Серьезная уязвимость безопасности затрагивает почти весь Интернет

Серьезная уязвимость безопасности затрагивает почти весь Интернет. Фото Pixels

Новая уязвимость нулевого дня обнаружена в популярной платформе ведения журналов Ява Log4j, которая потенциально может повлиять на Minecraft, iCloud, Steam и многие другие программные продукты, использующие Ява в своем коде.

Уязвимость этого типа, отслеживаемая как CVE-2021-44228 , особенно опасна, поскольку она может использоваться для запуска любого кода и требует очень низких навыков для злоумышленника. Поскольку Apache Log4j почти повсеместно используется в приложениях Ява, от специалистов по обслуживанию программного обеспечения требуются немедленные действия, чтобы не стать жертвой любых потенциальных атак.

Аналогичная уязвимость использовалась во взломе Equifax в 2017 году, в результате которого в Интернете были раскрыты личные данные 149,7 млн ​​человек. 

Этот новый эксплойт может оказаться еще более опасным, поскольку Log4j получил широкое распространение в большей части экосистемы Ява.

Согласно новому сообщению в блоге Sonatype, новости об эксплойте Log4j появились после публикации Proof of Concept (PoC) уязвимости в репозитории GitHub.

Уязвимость затрагивает Apache Log4j между версиями 2.0 и 2.141, и на момент подготовки материала уже поступали сообщения об ее успешном использовании в некоторых средах выполнения Ява 11. К счастью, Apache опубликовал исправление проблемы, но теперь производителям программного обеспечения все равно нужно будет установить его, чтобы защитить своих клиентов.

Уязвимость затрагивает любое приложение, использующее Log4j для ведения журналов, включая популярные игры, такие как Minecraft, в которых Sonatype уже обнаружила доказательства его использования с помощью встроенной функции чата. Как и в случае с другими атаками с удаленным выполнением кода в прошлом, есть веские доказательства того, что хакеры и другие киберпреступники начали массовое сканирование Интернета на предмет приложений, в которых эта уязвимость еще не исправлена.

Организации, использующие Log4j в своем программном обеспечении, должны немедленно обновить его до последней версии 2.15, доступной на Maven Central.

Технический директор Sonatype Брайан Фокс предоставил дополнительную информацию об уязвимости Log4j и ее потенциальном воздействии во всем мире в электронном письме в TechRadar Pro.

Из сообщения Брайана Фокса, технического директора Sonatype:

«Эта новая уязвимость Log4j, вероятно, станет еще одним событием в хронологии значительных уязвимостей. Это наиболее широко используемая среда ведения журналов в экосистеме Ява. Объем затронутых приложений сравним с уязвимостью Commons-collection 2015 года (CVE 2015-7501). Воздействие сопоставимо с предыдущими уязвимостями Struts, такими как та, которая затронула Equifax, поскольку атаки могут выполняться удаленно, анонимно без учетных данных с помощью удаленного эксплойта. Сочетание масштабов и потенциального воздействия здесь не похоже ни на одну из предыдущих уязвимостей компонентов, которые я могу легко вспомнить»

Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме

• Пользователи Firefox случайно загрузили свои базы данных файлов cookie в GitHub при фиксации кода.
• Firefox тестирует значительное обновление конфиденциальности.
• Mozilla блокирует вредоносные надстройки, установленные 455 тысячами пользователей Firefox.