Эксперты по кибербезопасности обнаружили в Интернет-приложениях опасную уязвимость под названием Log4Shell, которая угрожает миллионам пользователей по всему миру. Подробности стали известны изданию The Verge .
По словам специалистов, уязвимость находится в библиотеке log4j с логами — так называются файлы, содержащие системную информацию работы сервера или компьютера, в том числе записи об активности пользователя. База размещена с открытым исходным кодом, поэтому ее используют множество программ и служб в Интернете. Уже выпустили обновление библиотеки log4j для устранения уязвимости, однако для его установки на все машины потребуется много времени. При помощи найденной уязвимости хакеры способны взломать едва ли не любой компьютер, сервер или смартфон, подключенный к сети, чтобы заставить их удаленно выполнять код и открыть доступ вредоносному ПО. Для этого нужно лишь заставить журнал сохранить специальную строку символов, а сделать это можно многими способами, даже отправив сообщение в чате. Теоретически эксплойт запустить и без Интернета, спрятав нужный набор символов в QR-коде. Журналы логов необходимо вести, чтобы приложения вели список выполненных действий. Таким образом разработчики могут обнаружить ошибки в случае их возникновения, и вычислить их причину. Почти каждая сетевая система безопасности нуждается в таком процессе регистрации, что делает библиотеки логов очень популярными и востребованными. "Миллионы приложений используют Log4j для ведения журнала, и все, что нужно сделать злоумышленнику, — это заставить приложение регистрировать специальную строку", — заявил в Twitter известный киберспециалист Маркус Хатчинс, который прославился отражением глобальную атаку вируса WannaCry. Уязвимость Log4j впервые обнаружили на сайтах с серверами видеоигры Minecraft. Оказалось, что злоумышленники могут активировать ее, просто отправляя сообщения в чате. Компания GreyNoise обнаружила множество серверов, которые ищут в сети устройства, уязвимые для атаки Log4Shell. LunaSec, занимающаяся защитой приложений, нашла уязвимое место в игровой платформе Steam от Valve и облачном сервисе iCloud от Apple. "Это очень серьезная уязвимость из-за широкого использования Java и этого пакета log4j. Огромное количество программного обеспечения Java подключено к Интернету и в серверных системах. Оглядываясь назад на последние 10 лет, я могу вспомнить только два других эксплойта с аналогичной степенью серьезности: Heartbleed, который позволил вам получать информацию с серверов, которые должны были быть безопасными, и Shellshock, который позволял удаленно запускать код", — сказал The Verge технический директор Cloudflare Джон Грэм-Камминг.