Уязвимость в библиотеке Java затрагивает миллионы устройств и будет оставаться угрозой многие годы

В программной библиотеке Log4j, используемой великим множеством программ на Java-script, выявлена опасная уязвимость. Она получила идентификатор CVE-2021-44228 и неофициальное наименование Log4Shell. О степени серьезности проблемы говорит уже то, что степень угрозы уязвимости оценена в 10 баллов по 10-балльной шкале. Даже не слишком сведущие в программировании хакеры в состоянии добавить всего одну строку кода, чтобы скомпрометировать уязвимые устройства.

Список этих устройств практически бесконечен. Библиотека Log4j используется миллионами программ – от видеоигр до корпоративных приложений. Под угрозой даже сервисы крупнейших компаний, таких как Amazon, Apple, Cisco, Google, IBM, Microsoft и множества других. Впрочем, главную проблему специалисты по кибербезопасности видят даже не в этом: как раз крупные компании обладают всеми необходимыми ресурсами, чтобы максимально оперативно ликвидировать угрозу. Куда хуже то, что многие более мелкие компании могут даже понятия не иметь, что используют уязвимое ПО. «Если у вас есть открытый для доступа из сети сервер с неисправленной уязвимостью Log4Shell, можете считать, что вы уже в списке жертв», - мрачно констатирует бывший специалист по кибероперациям АНБ США Джейк Уильямс.

Уязвимость была выявлена 24 ноября, а в начале декабря код для ее эксплуатации оказался в свободном доступе. С тех пор число атак, эксплуатирующих Log4Shell, лавинообразно растет с каждым днем, свидетельствуют данные Cisco и Cloudflare. Пока речь идет главным образом об установке вредоносного ПО для майнинга криптовалюты и объединения уязвимых устройств в бот-сети. Но Log4Shell может использоваться и для более изощренных атак, и нет сомнений в том, что кибервымогатели и кибершпионы «подтянутся» в самое ближайшее время. Некоторые исследователи уже назвали новую уязвимость «самой серьезной в истории современных компьютеров». А независимый эксперт по проблемам кибербезопасности Крис Фрохофф уверен в том, что «хвост» нынешней проблемы будет тянуться еще долгие годы - по мере того, как кибепреступники будут изыскивать все новые приложения, в которых уязвимость Log4Shell так и не была исправлена.


Источник:  Wired

Возврат к списку