В библиотеке журналирования log4j, широко используемой приложениями и сервисами в интернете, обнаружена уязвимость под названием Log4Shell. Она делает уязвимыми миллионы систем в интернете, позволяя злоумышленникам удалённо выполнять код на уязвимых серверах и внедрять вредоносное ПО, которое может полностью скомпрометировать устройства.
Уязвимость обнаружена в log4j, библиотеке журналов с открытым исходным кодом, используемой приложениями и службами в Интернете. Журналирование (или запись логов) – это процесс, при котором приложения хранят список выполненных действий, которые впоследствии могут быть просмотрены в случае ошибки. Почти каждая сетевая система безопасности запускает какой-либо процесс журналирования, что делает очень популярными библиотеки, такие как log4j.
Как заявляет исследователь безопасности Маркус Хатчинс, «миллионы приложений используют Log4j для ведения логов, и всё, что нужно сделать злоумышленнику, – это заставить приложение регистрировать специальную строку».
Впервые уязвимость была обнаружена на сайтах, на которых размещены серверы Minecraft. Обнаружилось, что злоумышленники могут активировать уязвимость, отправляя сообщения в чате. Компания GreyNoise, занимающейся анализом безопасности, сообщила, что она уже обнаружила множество серверов, которые ищут в интернете системы, уязвимые для Log4Shell. Компания LunaSec, занимающейся безопасностью приложений, заявила, что игровые платформы Steam и Apple iCloud также оказались уязвимыми.
Чтобы воспользоваться уязвимостью, злоумышленник должен заставить приложение сохранить в журнале специальную строку символов. Поскольку приложения регулярно регистрируют широкий спектр событий, таких как отправленные и полученные пользователями сообщения или подробные сведения о системных ошибках, уязвимость необычайно проста в использовании и может быть вызвана различными способами. Теоретически эксплойт может быть реализован даже физически, путем сокрытия строки символов в QR-коде.
Уже вышло обновление библиотеки log4j, устраняющее данную уязвимость. Но с учётом того, что обновление всех уязвимых систем в интернете требует немало времени, Log4Shell остаётся серьезной угрозой.
Источник: The Verge