Техно Інтернет Все дуже серйозно: проти вразливості Log4j не допомагають патчі безпеки – хакери наступають

Все дуже серйозно: проти вразливості Log4j не допомагають патчі безпеки – хакери наступають

Автор:

Олександр Гайдамашко

10:39, 16 грудня 2021

3 хв

Читать новость на русском

Все дуже серйозно: проти вразливості Log4j не допомагають патчі безпеки – хакери наступають - Новини технологій - Техно

У бібліотеці Log4j знайшли нову вразливість / standret

У бібліотеці Log4j знайшли нову вразливість, проти якої не допомагають патчі безпеки. Хакери сповна цим користуються – під загрозою тисячі банків, компаній, додатків та програм, сайтів і держструктур.

Джерело:

Cloudflare

Вчора ми писали про виявлену діру в безпеці платформи Java, яка лежить в основі величезної кількості програм і додатків. Так звана вразливість нульового дня в бібліотеці Log4j дозволяє мінімальними зусиллями віддалено й без перешкод зламати мільйони пристроїв в інтернеті й сервери навіть найзахищеніших компаній та виконати будь-які дії на комп'ютері чи смартфоні жертви. Сьогодні ж ЗМІ масово пишуть про нову біду.

Цікаво Samsung підтримає клієнтів із порушеннями слуху: яку ініціативу запускає компанія

Що відбувається

Відучора тема Log4j є однією з найбільш обговорюваних в мережі, адже від неї вже постраждали сотні тисяч користувачів та компаній.
Річ у тім, що про проблему стало відомо ще до того, як були випущені відповідні виправлення. Наслідком стали понад 1,2 мільйона хакерських атак тільки до 14 грудня.
Загрозу називають однією з найсерйозніших за останні роки. Як пише видання Cnet, потенціал ймовірної шкоди неможливо підрахувати.
Вразливість, що отримала ідентифікатор CVE-2021-44228, набрала 10 балів з 10 можливих за шкалою небезпечності CVSS.

Після того як стало відомо про виявлення проблеми, для її усунення випустили екстрений патч, який виправляє помилку. Однак це призвело до виявлення нової вразливості. Їй присвоїли ідентифікатор CVE-2021-45046 і з нею виправлення безпеки фактично втрачають сенс.

Як це працює і чому не допоміг патч

Для того, щоб використати CVE-2021-44228, достатньо передати Log4j спеціально оформлений рядок, і бібліотека безконтрольно виконає його як програмний код. Це вкрай небезпечна і дуже доступна можливість, навіть хакери-початківці можуть через неї зламувати інтернет-сервіси, онлайн-ігри та корпоративні мережі на зразок Apple iCloud і Amazon. Наразі, як повідомляють ЗМІ, в основному нею користуються віруси-шифрувальники та майнери криптовалют.

У випадку з новою CVE-2021-45046 все стає значно гірше: якщо передавати рядок кому не безпосередньо, а через проміжну змінну — бібліотека Log4j так само безконтрольно виконає будь-який код у цьому рядку. Це означає, що патчі безпеки результату не принесли і єдиним виходом для світу захиститися від хакерів залишається повне оновлення бібліотеки Log4j до нової версії 2.16.0, у якій розробники прибрали можливість підставляти в рядки спеціально оформлений код.

Складність у тому, що на це потрібен час. Можуть пройти місяці, перш ніж бізнес і держструктури встановлять оновлення у своїх програмах, а деякі корпоративні додатки можуть бути зовсім неоновлювані.