Інтернет у небезпеці? Фахівці виявили критичну вразливість, яка загрожує безлічі програм.

14 грудня 2021, 16:44
Вразливість отримала назву Log4Shell (CVE-2021−44228) і набрала 10 балів із 10 можливих за шкалою оцінки вразливостей CVSS (Фото:Apache)

Вразливість отримала назву Log4Shell (CVE-2021−44228) і набрала 10 балів із 10 можливих за шкалою оцінки вразливостей CVSS (Фото:Apache)

Знайдена зовсім недавно вразливість у поширеній бібліотеці Log4j для Java поставила під загрозу безпеку найбільших сервісів і програм.

Розробники визнають, що вразливість може стати одним із найбільш руйнівних інцидентів у галузі кібербезпеки останнім часом, ідеться у статті Bloomberg.

24 листопада о 14:51 учасники проєкту з розробки програмного забезпечення з відкритим вихідним кодом отримали тривожний електронний лист. Уміст листа загрожував спровокувати масові кібератаки по всьому світу.

Відео дня

«Я хочу повідомити про помилку безпеки», — написав Чен Чжаоцзюнь, співробітник групи хмарної безпеки Alibaba Group Holding Ltd., додавши, що «вразливість має серйозний уплив».

Далі у повідомленні описувалося, як хакер може скористатися Log4j, широко використовуваним програмним інструментом, для досягнення так званого віддаленого виконання коду, мрії хакерів, оскільки вони можуть керувати комп’ютером.

Вразливості було надано кодове позначення CVE-2021−44228.

Повідомлення викликало глобальні перегони за оновленням критично важливих комп’ютерних систем, коли високопосадовці кібербезпеки США охарактеризували відкриття як «серйозну загрозу». Якщо не виправити це програмне забезпечення, воно може дати зловмисникам безперешкодний доступ до численних мільйонів комп’ютерних систем.

Log4j — це частина програмного забезпечення, яке розробники можуть додавати до програм для моніторингу або «ведення журналу» всього, від рутинних операцій до критичних попереджень. Ці докладні журнали можуть допомогти програмістам налагоджувати програмне забезпечення. За словами дослідника безпеки Маркуса Хатчінса, Log4j використовуване мільйонами додатків.

Це програмне забезпечення з відкритим вихідним кодом, яке підтримує група програмістів-добровольців у рамках некомерційної організації Apache Software Foundation, одного з десятків проєктів із відкритим вихідним кодом, які стали найважливішим компонентом глобальної торгівлі і які переважно підтримують добровольці, котрі не отримують зарплату.

«Деякі проблеми з безпекою, що виникають у вас, — це свого роду відволікальні маневри. Але в цьому випадку деякі з нас були здивовані не тим, що виникла проблема з безпекою, а тим, наскільки вона була поганою», — сказав Гері Грегорі, котрий майже десять років працював у команді Apache Software Foundation, яка підтримує Log4j.

Грегорі, який працює на повну ставку головним інженером-програмістом у Rocket Software, сказав, що він безкоштовно працює над проєктами з відкритим вихідним кодом, тому що йому це подобається.

Отримавши електронний лист від Чена, програмісти-добровольці Apache почали працювати над усуненням уразливості до того, як решта світу дізналася про існування проблеми. Але 8 грудня команда отримала ще один електронний лист від Чена з Alibaba, у якому було повідомлено, що хтось щойно розкрив подробиці вразливості на китайській платформі для ведення блогів, яку може побачити весь Інтернет.

«Деякі чат-групи з безпеки WeChat уже обговорюють деталі вразливості. Ми обіцяємо тримати це в секреті, доки не вийде ваша офіційна релізна версія. Будь ласка, поспішіть», — написав Чен.

На той час хакери вже почали використовувати вразливість, згідно з твітом головного виконавчого директора CloudFlare Метью Прінса. Приблизно через 20 годин команда Apache, що працює над Log4j, опублікувала «патч» для усунення проблеми. За словами Прінса, саме тоді хакери розпочали «масову експлуатацію» вразливості.

На щастя, дослідники дійшли висновку, що вразливість існує в Log4j із вересня 2013 року і, мабуть, не відома величезному всесвіту користувачів. Однак уплив недоліку Log4j залишається невідомим. Оскільки програмне забезпечення існує у багатьох продуктах та послугах, на думку експертів із безпеки, можуть пройти місяці — або навіть роки — перш ніж кожна версія отримає оновлення.

Досі до вразливості не було прив’язано жодних серйозних зламів.

Раніше НВ писав, що навесні 2021 року бельгійська експертка з кібербезпеки Меті Ванхуф виявила вразливості, які стосуються всіх сучасних протоколів безпеки Wi-Fi, включно з останньою специфікацією WPA3.

Новий набір уразливостей називається FragAttacks (атаки фрагментації та агрегації), а деякі з них торкаються навіть WEP — оригінального протоколу безпеки Wi-Fi, який з’явився в 1997 році.

Якщо коротко, то це набір із 12 різних уразливостей, які потенційно можуть призвести до атаки на пристрій або витоку інформації користувача.

На спеціально створеному сайті, присвяченому FragAttacks, Ванхуф пояснює, що цими вразливістями досить складно скористатися, оскільки для цього хакерам потрібна «безпосередня взаємодія з користувачем» або використання потенційною жертвою незвичайних мережевих налаштувань.

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X