Техно Интернет Все очень серьезно: против уязвимости Log4j не помогают патчи безопасности – хакеры наступают

Все очень серьезно: против уязвимости Log4j не помогают патчи безопасности – хакеры наступают

Автор:

Александр Гайдамашко

10:39, 16 декабря 2021

3 мин

Читати новину українською

Все очень серьезно: против уязвимости Log4j не помогают патчи безопасности – хакеры наступают

В библиотеке Log4j нашли новую уязвимость / standret

В библиотеке Log4j нашли новую уязвимость, против которой не помогают патчи безопасности. Хакеры сполна этим пользуются – под угрозой тысячи банков, компаний, приложений и программ, сайтов и госструктур.

Источник:

Cloudflare

Вчера мы писали об обнаруженной дыре в безопасности платформы Java, которая лежит в основе огромного количества программ и приложений. Так называемая уязвимость нулевого дня в библиотеке Log4j позволяет минимальными усилиями удаленно и без помех взломать миллионы устройств в интернете и серверы даже самых защищенных компаний и выполнить любые действия на компьютере или смартфоне жертвы. Сегодня же СМИ массово пишут о новой беде.

Интересно Samsung поддержит клиентов с нарушениями слуха: какую инициативу запускает компания

Что происходит

Со вчерашнего дня тема Log4j является одной из самых обсуждаемых в сети, так как от нее уже пострадали сотни тысяч пользователей и компаний.
Дело в том, что о проблеме стало известно еще до того, как были выпущены соответствующие исправления. Следствием стали более 1,2 миллиона хакерских атак только к 14 декабря.
Угрозу называют одной из самых серьезных за последние годы. Как пишет издание Cnet, потенциал вероятного ущерба невозможно подсчитать.
Уязвимость, которая получила идентификатор CVE-2021-44228, набрала 10 баллов из 10 возможных по шкале опасности CVSS.

После того как стало известно об обнаружении проблемы, для ее устранения выпустили экстренный патч, исправляющий ошибку. Однако это привело к обнаружению новой уязвимости. Ей присвоили идентификатор CVE-2021-45046, и с ней исправления безопасности фактически теряют смысл.

Как это работает и почему не помог патч

Для того, чтобы использовать CVE-2021-44228, достаточно передать Log4j специально оформленную строку, и библиотека бесконтрольно выполнит его как программный код. Это крайне опасная и очень доступная возможность, даже хакеры-новички могут через нее взламывать интернет-сервисы, онлайн-игры и корпоративные сети вроде Apple iCloud и Amazon. Сейчас, как сообщают СМИ, в основном ею пользуются вирусы-шифровальщики и майнеры криптовалют.

В случае с новой CVE-2021-45046 все становится значительно хуже: если передавать строку кому-то не напрямую, а через промежуточную переменную — библиотека Log4j так же бесконтрольно выполнит любой код в этой строке. Это означает, что патчи безопасности результата не принесли и единственным выходом для мира защититься от хакеров остается полное обновление библиотеки Log4j в новой версии 2.16.0, в которой разработчики убрали возможность подставлять в строки специально оформленный код.

Сложность в том, что на это нужно время. Могут пройти месяцы, прежде чем бизнес и госструктуры установят обновления в своих программах, а некоторые корпоративные приложения могут быть совсем необновляемыми.