Уязвимость Log4Shell признана самой серьёзной угрозой безопасности за многие годы истории интернета

На минувших выходных стало известно об уязвимости в инструменте журналирования Log4j для ведения логов, который как открытый код (библиотека) распространяется в составе Apache Logging Project. Уязвимость позволяет простыми средствами без необходимости в специальных навыках получать полный контроль над уязвимыми устройствами. Масштаб проблем поразил специалистов, на устранение могут уйти недели и даже месяцы.

Источник изображения: Gerd Altmann / pixabay.com

По данным ресурса Scoop News Group, директор Агентства по кибербезопасности и защите инфраструктуры США Джен Истерли (Jen Easterly) сообщила лидерам отрасли во время телефонного брифинга в понедельник, что уязвимость в широко используемой библиотеке протоколирования Log4j «является одной из самых серьёзных, которые она видела за всю свою карьеру, если не самой серьёзной».

В первые рабочие дни после выходных специалисты по безопасности очень и очень многих компаний и правительственных структур начали изучать масштаб проблемы и способы её смягчения. Пока всё выглядит так, что на устранение уязвимости уйдёт много времени, исчисляемого неделями и даже месяцами. Ситуацию усугубляют приближающиеся праздники, что ещё сильнее может затянуть процесс и потребует колоссального напряжения от специалистов по вопросам кибербезопасности и увеличения расходов на сверхурочную работу IT-отделов.

Уязвимость Log4j обнаружили и классифицировали специалисты Alibaba Cloud. Они дали ей название Log4Shell и номер CVE-2021-44228 с присвоением наивысшего класса опасности. Разработчики заранее были предупреждены о наличии уязвимости и выпустили обновлённую исправленную версию библиотеки 2.15.0. Важно отметить, что эксплойт на основе уязвимости Log4j впервые был обнаружен за 9 дней до выхода обновлённой библиотеки и до публичного раскрытия информации о ней. Атаки с её использованием начались в первых числах декабря, а массовые попытки эксплуатации зафиксированы на выходные.

Написанный на Java инструмент журналирования Apache Log4j используется в несметном числе программ. Тем самым проблема затрагивает миллионы компьютеров. Всего одна строка кода с использованием синтаксиса ${} позволяет включать команды в пользовательские агенты браузеров или другие часто регистрируемые атрибуты. При обработке заражённых логов уязвимая система загружает вредоносный скрипт из указанного злоумышленником домена и обрабатывает его, чем предоставляет удалённый доступ неавторизованному лицу. Иначе говоря, уязвимое приложение или сервер переходит под контроль злоумышленника.

По данным источников, Log4Shell уже используется для заражения уязвимых устройств вредоносами Mirai и Muhstik для установки криптомайнеров и для масштабных DDoS-атак. Также зафиксирована загрузка криптомайнера Kinsing. Уже известно об атаках на Apple iCloud и Minecraft, а Microsoft сообщила о случаях сброса маяков Cobalt Strike, что намекает о скорой атаке на серьёзные сетевые ресурсы.

Постоянно пополняемый список затронутых уязвимостью компаний и сервисов можно найти на этой страничке. Там не протолкнуться от компаний высшего звена, что ещё раз подчёркивает серьёзность опасности. Простой пользователь с этим ничего не сможет сделать. Остаётся только надеяться, что сильные мира сего осознают последствия затягивания решения проблемы и приложат все силы на её устранение.

Источники: