На прошлой неделе стало известно об уязвимости Log4Shell, которая затрагивает множество серверы в интернете. И хотя уязвимая библиотека Log4j оперативно получила обновление, устраняющее возможность использования данной уязвимости, специалисты по вопросам безопасности говорят, что компаниям ещё предстоит столкнуться с последствиями Log4Shell.
Главный архитектор ExpressVPN Питер Мембри сравнил эту ситуацию с фильмом-катастрофой, в котором должна произойти авария на атомной станции. При этом все знают, чего ожидать, но набор возможных действий очень ограничен.
Отмечается, что, несмотря на попытки специалистов выявить уязвимые приложения, обнаружить потенциальные атаки и предотвратить эксплойты, всё же существует высокая вероятность совершения серьёзных взломов с использованием Log4Shell. По данным одной из компаний, занимающихся вопросами кибербезопасности, почти в половине корпоративных сетей, которые она отслеживала, были попытки использовать уязвимость. Проблема настолько серьёзная, что компания Cloudflare пообещала развернуть защиту с помощью брандмауэра для всех клиентов, включая тех, кто не оплачивает подобную услугу. Пока что нет сведений об использовании Log4Shell для фактических взломов. Но тому может быть несколько объяснений. Например, жертвы таких атак могут просто не знать о случившемся. Или же они не хотят публично признавать, что их системы были взломаны.
Однако уже известно, что масштаб уязвимости огромен. Организация Cybersecurity and Infrastructure Security Agency (CISA) создала список уязвимого ПО, который включает более 500 наименований. И это речь только о решениях, применяемых в корпоративных программных платформах. Список всех затронутых приложений, скорее всего, увеличился бы до тысяч.
Уязвимое ПО используется как IT-гигантами, такими как Amazon, IBM, Microsoft, так и мелкими компаниями. И у некоторых их них может не быть ресурсов или персонала, которые помогли бы справиться с угрозами. Такие производители, как Broadcom, Red Hat и VMware, создают ПО, на основе которого корпоративные клиенты строят свой бизнес, что способствует распространению уязвимости на уровне базовой инфраструктуры многих компаний. Это ещё больше усложняет процесс обнаружения и устранения уязвимостей даже после выпуска патча для уязвимой библиотеки.
Проблема усугубляется тем, что язык программирования Java широко используется в корпоративном ПО, а в нём чрезвычайно распространена библиотека Log4j. Любая компания может использовать множество программ, содержащих уязвимую библиотеку, в некоторых случаях – даже с несколькими версиями внутри одного приложения. И даже если для устранения угрозы компании будут выпускать обновления для своих программных платформ так быстро, как только смогут, это потребует немало времени.
Процесс обновления ПО для банков, больниц, крупных инфраструктурных объектов, государственных учреждений обычно может занимать несколько недель или даже месяцев. Как правило, обновление требует тщательной разработки с привлечением различных департаментов, авторизации, тестирования. И лишь после всех этих этапов оно может появиться в конечном корпоративном ПО. Или может не появиться, если на этапе тестирования обнаружатся ошибки.
Действия, предлагаемые Cloudflare, предлагают быструю временную защиту. Но они не устраняют проблему полностью, а лишь дают дополнительное время клиентам для обновления своего ПО. Так что устаревшее программное обеспечение может получить определённый уровень защиты от VPN, но это не заменяет установку исправлений.
Однако вполне возможна ситуация, когда злоумышленники воспользовались уязвимостью Log4Shell, проникли в корпоративную систему, внедрили в неё свой код (и воспользовались механизмами устойчивости), но не спешат его использовать. Они могут вернуться к нему через несколько месяцев или несколько лет. Так что некоторые системы будут скомпрометированы даже после развертывания быстрых исправлений. И может пройти много времени, прежде чем эффект от уязвимости Log4Shell полностью ощутится.
Источник: The Verge