Интернет в опасности? Специалисты обнаружили критическую уязвимость, которая угрожает множеству приложений

14 декабря 2021, 16:44
Уязвимость получила название Log4Shell (CVE-2021−44228) и набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS (Фото:Apache)

Уязвимость получила название Log4Shell (CVE-2021−44228) и набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS (Фото:Apache)

Найденная совсем недавно уязвимость в распространенной библиотеке Log4j для Java поставила под угрозу безопасность крупнейших сервисов и приложений.

Разработчики признают, что уязвимость может стать одним из самых разрушительных инцидентов в области кибербезопасности за последнее время, говорится в статье Bloomberg.

Видео дня

24 ноября в 14:51 участники проекта по разработке ПО с открытым исходным кодом получили тревожное электронное письмо. Содержимое письма угрожало спровоцировать массовые кибератаки по всему миру.

«Я хочу сообщить об ошибке безопасности», — написал Чен Чжаоцзюнь, сотрудник группы облачной безопасности Alibaba Group Holding Ltd., добавив, что «уязвимость оказывает серьезное воздействие».

Далее в сообщении описывалось, как хакер может воспользоваться Log4j, широко используемым программным инструментом, для достижения так называемого удаленного выполнения кода, мечты хакеров, поскольку они могут удаленно управлять компьютером.

Уязвимости было присвоено кодовое обозначение CVE-2021−44228.

Сообщение вызвало глобальную гонку за обновлением критически важных компьютерных систем, когда высокопоставленные представители службы кибербезопасности США охарактеризовали открытие как «серьезную угрозу». Если не исправить это программное обеспечение, оно может дать злоумышленникам беспрепятственный доступ к бесчисленным миллионам компьютерных систем.

Log4j — это часть программного обеспечения, которое разработчики могут добавлять в приложения для мониторинга или «ведения журнала» всего, от рутинных операций до критических предупреждений. Эти подробные журналы могут помочь программистам отлаживать программное обеспечение. По словам исследователя безопасности Маркуса Хатчинса, Log4j используется миллионами приложений.

Это программное обеспечение с открытым исходным кодом, которое поддерживается группой программистов-добровольцев в рамках некоммерческой организации Apache Software Foundation, одного из десятков проектов с открытым исходным кодом, которые стали важнейшим компонентом глобальной торговли и которые в основном поддерживаются добровольцами, не получающими зарплату.

«Некоторые возникающие у вас проблемы с безопасностью — это своего рода отвлекающие маневры. Но в этом случае некоторые из нас были удивлены не тем, что возникла проблема с безопасностью, а тем, насколько она была плохой», — сказал Гэри Грегори, который почти десять лет работал в команде Apache Software Foundation, которая поддерживает Log4j.

Грегори, который работает на полную ставку главным инженером-программистом в Rocket Software, сказал, что он бесплатно работает над проектами с открытым исходным кодом, потому что ему это нравится.

Получив электронное письмо от Чена, программисты-добровольцы Apache начали работать над устранением уязвимости до того, как остальной мир узнал о существовании проблемы. Но 8 декабря команда получила еще одно электронное письмо от Чена из Alibaba, в котором сообщалось, что кто-то только что раскрыл подробности уязвимости на китайской платформе для ведения блогов, которую может увидеть весь Интернет.

«Некоторые чат-группы по безопасности WeChat уже обсуждают детали уязвимости. Мы обещаем держать это в секрете, пока не выйдет ваша официальная релизная версия. Пожалуйста, поторопитесь», — написал Чен.

К тому времени хакеры уже начали использовать уязвимость, согласно твиту главного исполнительного директора CloudFlare Мэтью Принса. Примерно 20 часов спустя команда Apache, работающая над Log4j, опубликовала «патч» для устранения проблемы. По словам Принса, именно тогда хакеры начали «массовую эксплуатацию» уязвимости.

К счастью, исследователи пришли к выводу, что уязвимость существует в Log4j с сентября 2013 года и, по-видимому, неизвестна огромной вселенной пользователей. Однако влияние недостатка Log4j остается неизвестным. Поскольку программное обеспечение существует во многих продуктах и услугах, по мнению экспертов по безопасности, могут пройти месяцы — или даже годы — прежде чем каждая версия получит обновление.

До сих пор к уязвимости не было привязано никаких серьезных взломов.

Ранее НВ писал, что весной 2021 года бельгийская экспертка по кибербезопасности Мэти Ванхуф обнаружила уязвимости, которые затрагивают все современные протоколы безопасности Wi-Fi, включая последнюю спецификацию WPA3.

Новый набор уязвимостей называется FragAttacks (атаки фрагментации и агрегации), а некоторые из них затрагивают даже WEP — оригинальный протокол безопасности Wi-Fi, который появился в 1997 году.

Если коротко, то это набор из 12 различных уязвимостей, которые потенциально могут привести к атаке на устройство или утечке пользовательской информации.

На специально созданном сайте, посвященному FragAttacks, Ванхуф объясняет, что этими уязвимостями достаточно сложно воспользоваться, поскольку для этого хакеру требуется «непосредственное взаимодействие с пользователем» или использование потенциальной жертвой необычных сетевых настроек.

Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.

Показать ещё новости
Радіо НВ
X