Уязвимость Log4Shell позволяет удалённо выполнять код на миллионах систем в интернете, просто отправив на них определённую строку символов

Уязвимость Log4Shell позволяет удалённо выполнять код на миллионах систем в интернете, просто отправив на них определённую строку символов

Уязвимость Log4Shell позволяет удалённо выполнять код на миллионах систем в интернете, просто отправив на них определённую строку символов

В библиотеке журналирования log4j, широко используемой приложениями и сервисами в интернете, обнаружена уязвимость под названием Log4Shell. Она делает уязвимыми миллионы систем в интернете, позволяя злоумышленникам удалённо выполнять код на уязвимых серверах и внедрять вредоносное ПО, которое может полностью скомпрометировать устройства.

Уязвимость обнаружена в log4j, библиотеке журналов с открытым исходным кодом, используемой приложениями и службами в Интернете. Журналирование (или запись логов) – это процесс, при котором приложения хранят список выполненных действий, которые впоследствии могут быть просмотрены в случае ошибки. Почти каждая сетевая система безопасности запускает какой-либо процесс журналирования, что делает очень популярными библиотеки, такие как log4j.

Как заявляет исследователь безопасности Маркус Хатчинс, «миллионы приложений используют Log4j для ведения логов, и всё, что нужно сделать злоумышленнику, – это заставить приложение регистрировать специальную строку».

Впервые уязвимость была обнаружена на сайтах, на которых размещены серверы Minecraft. Обнаружилось, что злоумышленники могут активировать уязвимость, отправляя сообщения в чате. Компания GreyNoise, занимающейся анализом безопасности, сообщила, что она уже обнаружила множество серверов, которые ищут в интернете системы, уязвимые для Log4Shell. Компания LunaSec, занимающейся безопасностью приложений, заявила, что игровые платформы Steam и Apple iCloud также оказались уязвимыми.

Чтобы воспользоваться уязвимостью, злоумышленник должен заставить приложение сохранить в журнале специальную строку символов. Поскольку приложения регулярно регистрируют широкий спектр событий, таких как отправленные и полученные пользователями сообщения или подробные сведения о системных ошибках, уязвимость необычайно проста в использовании и может быть вызвана различными способами. Теоретически эксплойт может быть реализован даже физически, путем сокрытия строки символов в QR-коде.

Уже вышло обновление библиотеки log4j, устраняющее данную уязвимость. Но с учётом того, что обновление всех уязвимых систем в интернете требует немало времени, Log4Shell остаётся серьезной угрозой.

Источник: The Verge

Автор: admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *