Уязвимость Log4Shell поставила под угрозу сервисы Apple, Steam, Twitter, CloudFlare, Tesla, Minecraft и множество других

Специалисты по вопросам кибербезопасности в Alibaba Cloud обнаружили опасную уязвимость, которая может позволить злоумышленникам удалённо выполнить произвольный код и взломать серверы крупнейших компаний, а также миллионы устройств в интернете. В настоящий момент выпущен патч, который исправляет данную ошибку.

Источник изображения: Gerd Altmann / pixabay.com

Уязвимость обнаружена в крайне популярном фреймворке Log4j для сбора логов, который используется многочисленными приложениями и сервисами в интернете. Известный специалист по вопросам кибербезопасности Маркус Хатчинс (Marcus Hutchins), который когда-то остановил атаку шифровальщика WannaCry, отметил, что проблема может коснуться миллионов приложений во всём интернете.

Уязвимость получила название Log4Shell и номер CVE-2021-44228 — её отличительной особенностью является очень лёгкая эксплуатация. Злоумышленнику достаточно заставить приложение отправить в лог всего одну строку кода. Специалисты по безопасности в компании GreyNoise уже обнаружили множество серверов, которые ищут в интернете уязвимые системы.

По данным LunaSec, уязвимость была подтверждена для игровой платформы Steam и хранилища iCloud — представители Valve и Apple пока воздерживаются от комментариев. Под угрозой также могут быть ресурсы Tencent, Twitter, CloudFlare, Amazon, Tesla, Minecraft и VMWare. Обнаружившие проблему специалисты Alibaba Cloud продемонстрировали работу эксплойта, запустив сторонний код на серверах Minecraft, просто отправив сообщение с кодом в окно чата.

Источник изображения: logging.apache.org

Технический директор Cloudflare Джон Грэм-Камминг (John Graham-Cumming) заявил, что за последние 10 лет он может вспомнить только две уязвимости такого уровня: Heartbleed, которая позволяла получать данные из памяти серверов, и Shellshock, позволявшая удалённо запускать код. Ассортимент возможных атак невероятно широк. Учитывая, что под угрозой оказались сервисы, которые сильно отличаются друг от друга, атаку можно произвести, даже закодировав строку в QR-код, который может быть отсканирован доставщиком из курьерской службы.

Уязвимой оказалась библиотека Log4j версий до 2.14.1. В настоящий момент уже выпущено обновление до версии 2.15.0, в которой она устранена. Однако, уверены некоторые эксперты, гарантии безопасности пока нет, поскольку многие компании могут рискнуть и временно оставить свои системы под угрозой, так как простой в предпраздничные недели может быть чреват потерей дохода.